Йота 

Тест HIPS на предотвращение проникновения в ядро Microsoft Windows. Обход защиты драйверов AMD от измененных BIOS'ов видеокарт

В данной статье предполагается, что вы понимаете, что делаете и на какой риск идете. Администрация сайта и автор статьи не несут никакой ответственности за вышедшее из строя оборудование в результате действий пользователя.


С выходом драйверов 16.12.1, так же известных как Crimson ReLive , инженеры и программисты AMD решили убрать возможность использования на видеокартах серии RX 400 не оригинальные BIOS"ы. Теперь каждый, кто попробует перепрошить BIOS на своих картах на любой, отличающийся от оригинального, столкнется с тем, что драйвера AMD отказываются работать с видеокартой.

Однако, народные умельцы нашли способ обхода данного ограничения, о чем ниже и пойдет речь. Для отключения проверки BIOS"a понадобиться утилита AMD/ATI Pixel Clock Patcher , которую . Так же для самой прошивки видеокарты нужна утилита ATI Winflash , которую .

Перепрошивка BIOS

Данная статья предполагает, что у вас уже есть готовый rom BIOS"a для видеокарты, который вы хотите перепрошить.

Перед прошивкой лучше будет отключить видеоадаптер в Windows . Для этого нужно открыть "Диспетчер устройств ", раскрыть список "Видеоадаптеры ", и выбрав нужный, нажать на нем правой кнопкой мыши и выбрать пункт "Отключить ".

Затем запускаем с правами администратора ATIWinflash. Нажимаем на кнопку Loaded, выбираем нужный rom-файл BIOS"a.

Выбрав файл запускаем процедуру перепрошивки кнопкой Program.

Ждем завершения процедуры перепрошивки. Это может длиться несколько минут. Так же, бывает, что компьютер зависает - это может возникнуть из-за того, что видеокарта не была отключена через Диспетчер устройств.

По завершению появится сообщение о успешной перепрошивке.

Затем, после нажатия кнопки "OK" появится предложение о перезагрузке, от которого нужно отказаться .

Отключаем проверку BIOS"a видеокарты

Запускаем AMD/ATI Pixel Clock Patcher. Убеждаемся, что в появившемся окошке программы присутствует строка BIOS signature check: found, и на вопрос "Patch found values" отвечаем нажатием кнопки "Да".

Программа начнет свою работу, может показаться, что на этот момент она закрылась. На самом деле нужно подождать появления сообщения об успешном патче и подписи драйвера.

После появления данного окна можно смело перезагружаться и пользоваться видеокартой с прошитым пользовательским BIOS"ом и новейшими драйверами AMD.



В этом сравнительном тестировании мы проводили анализ популярных персональных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS (Host Intrusion Prevention Systems), на возможности предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows. Если вредоносной программе удается проникнуть на уровень ядра, то она получает полный контроль над персональным компьютером жертвы.

Введение:


Технологии поведенческого анализа и системы предотвращения вторжения на уровне хоста (Host Intrusion Prevention Systems - HIPS) набирают популярность среди производителей антивирусов, сетевых экранов (firewalls) и других средств защиты от вредоносного кода.

Их основная цель - идентифицировать и блокировать вредоносные действия в системе и не допустить ее заражения.

Наиболее сложная задача защиты при этом сводится к недопущению проникновения зловредной программы на уровень ядра операционной системы (анг. Kernel Level), работающего в «нулевом кольце процессора» (Ring 0).

Этот уровень имеет максимальные привилегии при выполнении команд и доступа к вычислительным ресурсам системы в целом.

Если вредоносной программе удалось проникнуть на уровень ядра, то это позволит ей получить полный и, по сути, неограниченный контроль над персональным компьютером жертвы, включая возможности отключения защиты, сокрытия своего присутствия в системе.

Вредоносная программа может перехватывать вводимую пользователем информацию, рассылать спам, проводить DDoS-атаки, подменять содержимое поисковых запросов, делать все-то угодно, несмотря на формально работающую антивирусная защита. Поэтому для современных средств защиты становится особенно важно не допустить проникновения зловредной программы в Ring 0.

В данном тестировании мы проводили сравнение популярных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS, на возможности предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows XP SP3.

Отбор вредоносных программ для тестирования:


Мы решили не моделировать проникновение в Ring 0 какими-либо искусственными средствами, а провести тест на реальных вредоносных программах. При этом последние отбирались таким образом, чтобы охватить все используемые способы записи в Ring 0, которые реально применяются в «дикой природе» (In The Wild):
1. StartServiceA - загрузка вредоносного драйвера производится путем подмены файла системного драйвера в каталоге %SystemRoot%\System32\Drivers с последующей загрузкой. Позволяет загрузить драйвер без модификации реестра.
Встречаемость ITW: высокая

2. SCM - использование для регистрации и загрузки драйвера менеджера управления сервисами. Этот метод используется как легитимными приложениями, так и вредоносными программами.
Встречаемость ITW: высокая

3. KnownDlls - модификация секции \KnownDlls и копии одной из системных библиотек с целью загрузки вредоносного кода системным процессом.
Встречаемость ITW: средняя

4. RPC - создание драйвера и загрузка посредством RPC. Пример использования: загрузчик знаменитого Rustock.C
Встречаемость ITW: редкая

5. ZwLoadDriver - подмена системного драйвера вредоносным, путем перемещения и последующая прямая загрузка.
Встречаемость ITW: высокая

6. ZwSystemDebugControl - снятие перехватов, установленных HIPS для контроля системных событий, в SDT, используя debug-привилегии.
Встречаемость ITW: высокая

7. \Device\PhysicalMemory - снятие перехватов, установленных HIPS для контроля системных событий, в SDT, используя запись в секцию физической памяти.
Встречаемость ITW: средняя

8. ZwSetSystemInformation - загрузка драйвера без создания ключей в реестре вызовом ZwSetSystemInformation с параметром SystemLoadAndCallImage.
Встречаемость ITW: средняя

9. CreateFileA \\.\PhysicalDriveX - посекторное чтения/запись диска (модификация файлов или главной загрузочной записи диска).
Встречаемость ITW: средняя

Таким образом, было отобрано девять различных вредоносных программ, использующих приведенные выше способы проникновения в Ring 0, которые потом использовались в тестировании.

Методология сравнительного тестирования:


Тестирование проводилось под управлением VMware Workstation 6.0. Для теста были отобраны следующие персональные средства антивирусной защиты и сетевые экраны:
1. PC Tools Firewall Plus 5.0.0.38
2. Jetico Personal Firewall 2.0.2.8.2327
3. Online Armor Personal Firewall Premium 3.0.0.190
4. Kaspersky Internet Security 8.0.0.506
5. Agnitum Outpost Security Suite 6.5.3 (2518.381.0686)
6. Comodo Internet Security 3.8.65951.477.

К сожалению, по техническим причинам из теста были исключены антивирусы F-Secure и Norton. Встроенный в них HIPS не работает отдельно от включенного антивирусного монитора. А поскольку отобранные образцы вредоносных программ могли детектироваться сигнатурно, то ими нельзя было воспользоваться.

Использовать эти антивирусы со старыми антивирусными базами (чтобы избежать сигнатурного детекта) не подходило, т.к. процесс обновления в этих продуктах может затрагивать и не только антивирусные базы, но и исполняемые модули (компоненты защиты).

Почему мы взяли в тест другие популярные антивирусные продукты и сетевые экраны, коих найдется множество? Да потому, что они не имеют в своем составе модуля HIPS. Без этого предотвратить, проникновения в ядро ОС у них объективно нет шансов.

Все продукты устанавливались с максимальными настройками, если их можно было задать без тонкого ручного изменения настроек HIPS. Если при инсталляции предлагался к использованию режим автообучения - то он и использовался до момента запуска вредоносных программ.

Перед проведением тестирования запускалась легитимная утилита cpu-z (небольшая программа, которая сообщает сведения об установленном в компьютере процессоре) и создавалось правило, которое предлагал тестируемый продукт (его HIPS-компонент). После создания правила на данную утилиту, режим автообучения отключался и создавался снимок состояние системы.

Затем поочередно запускались специально отобранные для теста вредоносные программы, фиксировалась реакция HIPS на события, связанные непосредственно с установкой, регистрацией, загрузкой драйвера и другие попытки записи в Ring 0. Как и в других тестах, перед проверкой следующей зловредной программы производился возврат системы до сохраненного в начале снимка.

В участвующих в тесте антивирусах файловый монитор отключался, а в Kaspersky Internet Security 2009 вредоносное приложение вручную помещалось в слабые ограничения из недоверенной зоны.

Шаги проведения тестирования:

1. Создание снимка чистой виртуальной машины (основной).

2. Установка тестируемого продукта с максимальными настройками.

3. Работа в системе (инсталляция и запуск приложений Microsoft Office, Adobe Reader, Internet Explorer), включение режима обучения (если таковой имеется).

4. Отметка количества сообщений со стороны тестируемого продукта, запуск легитимной утилиты cpu-z и создание для нее правил.

5. Отключение режима автообучения (если такой имеется).

6. Перевод тестируемого продукта в интерактивный режим работы и создание очередного снимка виртуальной машины с установленным продуктом (вспомогательный).

7. Создание снимков для всех тестируемых продуктов, выполняя откат к основному снимку и заново проводя пункты 2-4.

8. Выбор снимка с тестируемым продуктом, загрузка ОС и поочередный запуск вредоносных программ каждый раз с откатом в первоначальное состояние, наблюдение за реакцией HIPS.

Результаты сравнительного тестирования:


Плюс в таблице означает, что была реакция HIPS на некое событие со стороны вредоносной программы на проникновение в Ring 0 и была возможность пресечь это действие.

Минус - если вредоносный код сумел попасть в Ring 0, либо сумел открыт диск на посекторное чтение и произвести запись.

Таблица 1: Результаты сравнительного тестирования HIPS-компонент

Стоит отметить, что при полном отключении режима обучения некоторые из тестируемых продуктов (например, Agnitum Outpost Security Suite 6.5) могут показать лучший результат, но в этом случае пользователь гарантированно столкнется в большим количеством всевозможных алертов и фактическими затруднениями работы в системе, что было отражено при подготовке методологии данного теста.

Как показывают результаты, лучшие продуктами по предотвращению проникновения вредоносных программ на уровень ядра ОС являются Online Armor Personal Firewall Premium 3.0, Comodo Internet Security 3.8, Kaspersky Internet Security 2009.

Необходимо отметить, что Online Armor Personal Firewall Premium - это продвинутый фаеровол и не содержит в себе классических антивирусных компонент, в то врем как два других победителя - это комплексные решения класса Internet Security.

Обратной и негативной стороной работы всех HIPS-компонент является количество всевозможных выводимых ими сообщений и запросов действий пользователей. Даже самый терпеливый из них откажется от надежного HIPS, если тот будет слишком часто надоедать ему сообщениями об обнаружении подозрительных действий и требованиями немедленной реакции.

Минимальное количество запросов действий пользователя наблюдалось у Kaspersky Internet Security 2009, PC Tools Firewall Plus 5.0 и Agnitum Outpost Security Suite 6.5. Остальные продукты зачастую надоедали алертами.

Самый простой способ сохранения информации с Рабочего стола, из приложения - создание снимка экрана. Область применения скриншотов гораздо шире, чем может показаться на первый взгляд: это всевозможные инструкции, документация, заметки на сайте, оперативная помощь коллегам и друзьям, отчеты.

Для получения полноэкранного скриншота (т. е. размещения его в буфере обмена) используется клавиша Print Screen, комбинация Alt+Print Screen применяется для захвата окна активного приложения. Промежуточное изображение в дальнейшем легко перенести в графический редактор и сохранить его в одном из доступных форматов.

При всем, казалось бы, удобстве такого пошагового метода очевидны его недостатки - в особенности, если пользователю требуется не просто зафиксировать экран, но и оформить файл должным образом: добавить аннотации, вырезать фрагмент, изменить масштаб.

Для решения подобных задач используются программы для захвата экрана. Можно выделить два их основных преимущества: скорость и удобство работы. Программы, как правило, совмещают в себе инструменты для захвата экрана и графический редактор для обработки скриншотов.

В первой части путеводителя будут рассмотрены следующие приложения:

  • FastStone Capture
  • HyperSnap
  • Snagit
  • LightShot
  • Screen Capture
  • Greenshot

Стоит отметить, что некоторые участники обзора опционально позволяют записывать аудио и видео, однако эта тема будет раскрыта во второй части путеводителя. Здесь же внимание будет сфокусировано на указанных составляющих каждой из программ:

  • Захват экрана: выбор региона, режимы создания скриншота
  • Интерфейс: удобство доступа к функциям, настройка менеджера под нужды пользователя
  • Редактор: основные возможности, доступные инструменты, форматы сохранения файлов, экспорт
  • Интеграция с программами и сервисами.

Программа «Ножницы»

Приступая к обзору, нужно вкратце перечислить функции программы «Ножницы», входящей в состав Windows Vista и новейших версии ОС Microsoft.

Захват экрана возможен в одном из режимов: «произвольная форма», «прямоугольник», «окно» и «весь экран». Для выделения региона удобно использовать комбинацию клавиш Ctrl+PrtScrn. Изображение передается в окно разметки, и здесь доступны такие инструменты, как перо, маркер и резинка - аналогичные редактору Paint. К изображению несложно добавить (точнее, дорисовать) примечание, а в случае с HTML - указать URL сохраненной страницы. На заключительном этапе скриншот можно сохранить в одном из форматов (PNG, GIF или JPEG) и отправить по электронной почте.


Таким образом, Windows располагает неким базовым набором для съемки скриншотов. К сожалению, пакетная обработка и даже несложное редактирование практически неосуществимы. Как минимум, в «Ножницах» нельзя кадрировать изображение или ввести комментарий. Все это - дополнительные доводы в сторону альтернативных решений.

FastStone Capture

FastStone Capture - программа для создания скриншотов отдельных приложений, регионов, объектов, страниц. Встроенные инструменты позволяют добавлять эффекты, аннотации, изменять параметры изображения. Сохранение файлов возможно в BMP, GIF, JPEG, PCX, PNG, TGA, TIFF и PDF. Также поддерживается запись видео в формате WMV.

Основные инструменты, относящиеся к съемке, доступны на панели захвата Farstone (Capture Panel). Здесь на выбор представлены следующие режимы: активное окно, окно или объект, регион, свободный регион, полный экран, фиксированный или регион с прокруткой. Опция Autocaption позволяет автоматически добавлять к изображению системную информацию, дату. В соседней группе настроек Destination можно указать, куда будет отправлено изображение: в редактор, буфер обмена, на email, в офисные приложения и прочее.

Основные настройки расположены в разделе Settings. Полезно с ними ознакомиться перед непосредственной съемкой. Дополнительные кнопки можно добавить через раздел Toolbar, настройки захвата сосредоточены в Capture. Горячие клавиши определяются во вкладке Hotkeys. Имя файла составляется по маске, которую возможно указать в разделе File Name.

По умолчанию, скриншот передается в окно редактора. С помощью доступных инструментов, можно добавить к изображению подпись, водяной знак, кадрировать, повернуть скриншот, применить эффекты сглаживания или усиления резкости. Для рисования используется встроенный редактор FastStone Draw, открывающийся в новом окне. Такую организацию в FastStone Capture нельзя назвать удобным решением: работая с несколькими изображениями, приходится постоянно переключаться между окнами.

В меню File расположены команды сохранения и отправки изображения напрямую в приложения Word, Excel, PowerPoint, по протоколу FTP. Для каждого из графических форматов предусмотрены настройки.

Второй немаловажный компонент FastStone Capture, который идет «в довесок» - захват видео. Впрочем, в роли видеокамеры программа не столь примечательна, предлагая скромный набор опций и единственно возможный формат сохранения - WMV. Общие настройки программы не актуальны к записи видео, для них отведена вкладка Miscellaneous, плюс раздел Options, доступный через окно Screen Recorder. Режимов записи четыре: окно или объект, область, полноэкранный формат и полноэкранный без Панели задач.

Резюме

Программа FastStone Capture удобна при захвате экрана, не в последнюю очередь благодаря режимам съемки. Возможности редактирования также порадовали - графический редактор содержит нужные инструменты. Предусмотрено множество настроек, позволяющих гибко настроить FastStone Capture под собственные задачи.

[+] Функции сохранения и экспорта
[+] Широкий выбор режимов съемки
[+] Дополнительные инструменты
[−] Неудобная организация окон

HyperSnap

HyperSnap - программа с более чем десятилетним стажем - используется в широких целях: для захвата скриншотов (окон, отдельных регионов), текста (диалоговых окон, страниц), записи видео. Позволяет комментировать, редактировать изображения посредством редактора, сохранять их в одном из множества доступных форматов.

В отличие от FarStone, все модули HyperSnap собраны в едином окне, а инструменты распределены по вкладкам и доступны через ribbon-ленту. Дополнительный «плюс» подобного решения состоит в том, что одновременно можно работать с несколькими изображениями, переключаясь между окнами или эскизами. В целом же, благодаря разделу меню View, интерфейс поддается тщательной настройке, и это компенсирует некоторую «архаичность» программы.

Собственно, для захвата экрана нужно перейти во вкладку Capture. Опций больше, чем в FastStone Capture или любой другой нижеупомянутой программе (за исключением Snagit). Помимо самых очевидных вариантов, имеется возможность съемки виртуального Рабочего стола, нескольких мониторов, региона и окна с полной прокруткой, кнопок, курсора и др.

Инструменты редактора разбиты на две вкладки - Edit («Редактирование») и Image («Изображение»). В Edit можно обнаружить инструменты для рисования, в числе которых рисование фигур, добавление примечаний. Раздел Image предназначен для обработки изображения: кадрирование, поворот, применение эффектов.

Любопытен захват простого и форматированного текста (вкладка TextSnap), однако нужно иметь в виду ограниченное применение функции. Разработчики больше не занимаются ее развитием - вследствие этого, в Java, .NET, «родных» (native) приложениях ОС Windows 8 захват текста невозможен.

Итоговое изображение легко отправить на email, загрузить по FTP или на сервис ImageShack. Передача скриншота в приложения недоступна. Сохранение файлов возможно как в индивидуальном, так и пакетном режиме. При всем разнообразии форматов (их более десятка), хотелось бы видеть более удобный диалог сохранения, на данный момент он отнюдь не интуитивен.

Резюме

Hypersnap удовлетворит повышенные требования к специализированным функциям и будет оптимальным вариантом для пользователей, которых интересует максимальная автоматизация действий, пакетная работа. Подходящее решение для тестирования, отладки ПО.

[+] Удобная настраиваемая оболочка
[+] Многообразие режимов съемки
[+] Захват текста
[−] Устаревший интерфейс

Snagit

Snagit - приложение компании TechSmith для захвата изображений, текста и видео с экрана. Этих функций в связке более чем достаточно для использования Snagit на работе, дома, а также в образовательных целях.

Для захвата изображения в Snagit используется удобный скрывающийся виджет, который легко перетащить в любую область экрана. Вначале следует выбрать профиль съемки (изображение, текст или видео), опционально - «экономный» профиль (Time-saving profile) и назначить горячие клавиши. Кстати говоря, профили можно создавать самостоятельно, управление доступно в «File - Organize Profiles...». Настройка профиля или текущего режима съемки осуществляется в окне захвата.

Доступные режимы собраны в меню Capture Type, среди них - регион, окно, область экрана, несколько областей одновременно, сканнер, камера, другие варианты.

Получив скриншот, пользователь переходит в редактор. Следует отметить библиотеку в нижней части окна редактора, где доступны все изображения. Она удобна своей организацией: данные можно упорядочить не только по каталогам, но и по тегам, также реализован поиск по файлам.

В разделе Draw имеется возможность добавления фигур, есть инструменты для рисования, заливки, маркировки. В соседней вкладке Image - различные операции с изображением (кадрирование, повернуть, изменение размера, заливка и др.), а также применение эффектов.

Одной из уникальных возможностей Snagit является создание «горячих точек» (hotspots), - интерактивных изображений, содержащих ссылки, всплывающие окна. Опций более чем достаточно: создание объектов, ссылок, выбор подсветки при наведении, цветовых решений.

В разделе Share доступна передача изображения в программы или сервисы, причем легко нарастить функциональность, скачав недостающие виджеты интеграции для Snagit.

Резюме

Функциональная и удобная программа с широкими экспортными возможностями. Именно в этом выигрышном сочетании Snagit является лидером среди платных продуктов.

[+] Удобный интерфейс
[+] Создание интерактивных изображений
[+] Разнообразие способов захвата
[+] Возможности организации библиотеки

LightShot

Разумеется, не каждый пользователь сочтет нужным платить за функциональность скриншот-менеджера, поэтому стоит рассмотреть и бесплатные решения. Среди них достойна упоминания небольшая программа LightShot, вмещающая в себе базовые функции, которые, как минимум, превосходят штатные «Ножницы».

Приложение, что называется, «easy to use» - простое, интуитивно понятное. Достаточно нажать клавишу PrtScr, выделить область для захвата (в наличии только ручной режим) - и скриншот доступен для редактирования и сохранения или загрузки на хостинг изображений. Таким образом, сокращается время между промежуточными этапами получения снимка.

Функциональность редактора LightShot, пожалуй, слишком проста для повсеместного применения программы. Есть инструменты рисования и возможность добавления текстовых комментариев. Однако когда дело доходит до работы с изображением, сказывается отсутствие команд по изменению пропорций, эффектов. Неудобным может показаться и то, что каждый снимок нужно обрабатывать и сохранять не откладывая. Впрочем, LightShot предусматривает альтернативное редактирование - онлайн-редактор Pixlr, интегрированный с prntscr.com. На Prntscr изображение можно опубликовать в пару кликов. Набор форматов для сохранения ограничен PNG, JPEG, BMP, причем настройки качества отсутствуют. В Pixlr, правда, для JPEG опции предусмотрены, также есть формат хранения PXD, практически бесполезный за пределами сервиса.

Резюме

LightShot по многим параметрам не может составить конкуренцию своим платным участникам обзора, однако имеет два заметных достоинства - скорость работы и бесплатность. Перефразируя пословицу «лучше синица в руках, чем журавль в небе» - лучше бесплатное приложение без ограничений, чем платное, но со множеством ограничений.

[+] Хорошая функциональность для бесплатной версии
[+] Интеграция с онлайн-сервисами
[−] Отсутствие параметров сохранения
[−] Ограниченная функциональность редактора

Screen Capture

Домашняя страница: http://www.screencapture.ru/

Еще один бесплатный скриншот-менеджер на русском языке. Screen Capture интересен некоторыми онлайн-функциями: в частности, можно сохранять скриншот одним кликом в Интернете. Из других возможностей - захват произвольной области экрана, редактирование изображений и добавление комментариев.

Вкратце, работа со Screen Capture выглядит следующим образом. По нажатию PrtScrn либо при использовании команды «Сделать снимок экрана», определяется область для захвата. Далее скриншот загружается в Интернет (по умолчанию), сохраняется на Рабочем столе либо в указанной папке.

Основные функции приложения доступны через контекстное меню в Области уведомлений. Такой вариант не очень удобен: так, качество JPG нужно выбирать из выпадающего списка, а некоторые опции были бы оптимальны в виде переключателей.

Заменой библиотеки в Screen Capture является раздел «История изображений», откуда возможен доступ к редактированию каждого из файлов в списке. Онлайн-редактор имеет стандартный набор инструментов и прост в использовании. Теоретически, он был бы удобен на мобильных устройствах - сейчас, однако, Screen Capture доступен только для Windows.

Резюме

Screen Capture - неплохой бесплатный продукт, который стоит рассматривать рядом с LightShot. Редактирование доступно только как часть онлайн-функций, зато представлено больше настроек сохранения, есть история изображений.

[+] Присутствуют настройки сохранения
[−] Неудобный интерфейс
[−] Редактирование скриншотов возможно только онлайн

Greenshot

Greenshot - бесплатное приложение для создания скриншотов регионов, окон, веб-страниц. Возможна обработка изображений (в том числе, добавление подсветки, комментариев), экспорт в различные форматы, публикация в интернете.

Поддерживаются уже знакомые режимы съемки: захват области, окна, полного экрана. Однако примечательно в Greenshot не это, а наглядность самого процесса: вместе с подсветкой выбранного региона, можно ознакомиться с его размерами.

Графический редактор прост и одновременно не содержит ничего лишнего. Благодаря имеющимся инструментам, можно добавить комментарий, фигуры, линии, подсветить или размыть определенный участок изображения, повернуть или кадрировать его. Правда, редактируя несколько скриншотов в различных окнах, неудобно переключаться между ними. Другими словами, для пакетной работы не хватает вкладок.

Форматы изображения для сохранения - PNG, GIF, BMP, JPG, TIFF, Greenshot. Настройки качества применимы только к JPEG. Дополнительно, в настройках программы настраивается шаблон имени, здесь же указывается место хранения файлов.

Наряду с сохранением, предусмотрены отправка скриншота по e-mail, в почтовый клиент, в редактор MSPaint, экспорт скриншотов в офисные приложения не поддерживается. Также возможна загрузка скриншотов на хостинг Imgur. Полученная ссылка ведет напрямую к изображению, в отличие от prntscr.com, где приходится просматривать рекламу со страницы сервиса.

Резюме

Среди упомянутых бесплатных участников, Greenshot - наиболее функциональный продукт. Удобный интерфейс, локализация, широкий выбор форматов для сохранения и режимов съемки.

[+] Функциональность
[+] Редактор изображений
[+] Быстрая публикация в Сети
[−] Неудобная реализация многооконного режима

Сводная таблица

Программа FastStone Capture HyperSnap Snagit LightShot Screen Capture Greenshot
Разработчик FastStone Soft Hyperionics Technology, LLC TechSmith Skillbrains Андрющенко Артем Thomas Braun, Jens Klingen, Robin Krom
Лицензия Shareware ($19.95+) Shareware ($39.95+) Shareware ($49.95+) Freeware Freeware Freeware
Локализация на русском языке + + +
Форматы сохранения изображений BMP, GIF, JPEG, PCX, PNG, TGA, TIFF, PDF BMP, GIF, JPEG, TIFF, CMP, CALS, FAX, EPS, GEM, IMG, RAW, PIC, MAC, MSP, BMP, RAS, TGA, WFX, WFM, WPG, PNG, PSD и др. SNAG, PNG, JPG, GIF, BMP, TIF, PDF, SWF PNG, JPEG, BMP PNG, JPEG, BMP PNG, GIF, BMP, JPG, TIFF, Greenshot
Редактор изображений + + + + + +
Экспорт в сторонние приложения + + +
Режимы захвата Активное окно, окно или объект, регион, свободный регион, полный экран, фиксированный, регион с прокруткой Окно, регион, полный экран, видео, виртуальный Рабочий стол, несколько мониторов, регион, окно с прокруткой, кнопки, курсор и др. Регион, окно, область экрана, несколько регионов одновременно, сканнер, камера и др. Область экрана Область экрана Захват области, окна, полного экрана
Публикация онлайн FTP FTP, ImageShack.us Screencast.com, FTP Prntscr.com Screencapture.ru Imgur.com
Дополнительные функции Запись видео (WMV) Расширение для Firefox, захват текста Создание интерактивных изображений Расширение для браузеров Chrome, Firefox, IE и Opera

Во второй части обзора рассмотрены 6 программ, позволяющих захватывать изображение с экрана в виде видеоролика.

В этом сравнительном тестировании мы проводили анализ популярных персональных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS (Host Intrusion Prevention Systems), на возможности предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows. Если вредоносной программе удается проникнуть на уровень ядра, то она получает полный контроль над компьютером жертвы.

Краткое содержание:

Введение

Технологии поведенческого анализа и системы предотвращения вторжения на уровне хоста (Host Intrusion Prevention Systems - HIPS) набирают популярность среди производителей антивирусов, сетевых экранов (firewalls) и других средств защиты от вредоносного кода. Их основная цель - идентифицировать и блокировать вредоносные действия в системе и не допустить ее заражения.

Наиболее сложная задача защиты при этом сводится к недопущению проникновения вредоносной программы на уровень ядра операционной системы (анг. Kernel Level), работающего в «нулевом кольце процессора» (Ring 0). Этот уровень имеет максимальные привилегии при выполнении команд и доступа к вычислительным ресурсам системы в целом.

Если вредоносной программе удалось проникнуть на уровень ядра, то это позволит ей получить полный и, по сути, неограниченный контроль над компьютером жертвы, включая возможности отключения защиты, сокрытия своего присутствия в системе. Вредоносная программа может перехватывать вводимую пользователем информацию, рассылать спам, проводить DDoS-атаки, подменять содержимое поисковых запросов, делать все-то угодно, несмотря на формально работающую антивирусная защита. Поэтому для современных средств защиты становится особенно важно не допустить проникновения вредоносной программы в Ring 0.

В данном тестировании мы проводили сравнение популярных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS, на возможности предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows XP SP3.

Отбор вредоносных программ для тестирования

Мы решили не моделировать проникновение в Ring 0 какими-либо искусственными средствами, а провести тест на реальных вредоносных программах. При этом последние отбирались таким образом, чтобы охватить все используемые способы записи в Ring 0, которые реально применяются в «дикой природе» (In The Wild):

  1. StartServiceA - загрузка вредоносного драйвера производится путем подмены файла системного драйвера в каталоге %SystemRoot%\System32\Drivers с последующей загрузкой. Позволяет загрузить драйвер без модификации реестра.
    Встречаемость ITW: высокая
  2. SCM - использование для регистрации и загрузки драйвера менеджера управления сервисами. Этот метод используется как легитимными приложениями, так и вредоносными программами.
    Встречаемость ITW: высокая
  3. KnownDlls - модификация секции \KnownDlls и копии одной из системных библиотек с целью загрузки вредоносного кода системным процессом.
    Встречаемость ITW: средняя
  4. RPC - создание драйвера и загрузка посредством RPC. Пример использования: загрузчик знаменитого Rustock.C
    Встречаемость ITW: редкая
  5. ZwLoadDriver - подмена системного драйвера вредоносным, путем перемещения и последующая прямая загрузка.
    Встречаемость ITW: высокая
  6. ZwSystemDebugControl - снятие перехватов, установленных HIPS для контроля системных событий, в SDT, используя debug-привилегии.
    Встречаемость ITW: высокая
  7. \ Device \ PhysicalMemory - снятие перехватов, установленных HIPS для контроля системных событий, в SDT, используя запись в секцию физической памяти.
    Встречаемость ITW: средняя
  8. ZwSetSystemInformation - загрузка драйвера без создания ключей в реестре вызовом ZwSetSystemInformation с параметром SystemLoadAndCallImage.
    Встречаемость ITW: средняя
  9. CreateFileA \\.\PhysicalDriveX - посекторное чтения/запись диска (модификация файлов или главной загрузочной записи диска).
    Встречаемость ITW: средняя

Таким образом, было отобрано девять различных вредоносных программ, использующих приведенные выше способы проникновения в Ring 0, которые потом использовались в тестировании.

Методология сравнительного тестирования

Тестирование проводилось под управлением VMware Workstation 6.0. Для теста были отобраны следующие персональные средства антивирусной защиты и сетевые экраны:

  1. PC Tools Firewall Plus 5.0.0.38
  2. Jetico Personal Firewall 2.0.2.8.2327
  3. Online Armor Personal Firewall Premium 3.0.0.190
  4. Kaspersky Internet Security 8.0.0.506
  5. Agnitum Outpost Security Suite 6.5.3 (2518.381.0686)
  6. Comodo Internet Security 3.8.65951.477

К сожалению, по техническим причинам из теста были исключены антивирусы F-Secure и Norton. Встроенный в них HIPS не работает отдельно от включенного антивирусного монитора. А поскольку отобранные образцы вредоносных программ могли детектироваться сигнатурно, то ими нельзя было воспользоваться. Использовать эти антивирусы со старыми антивирусными базами (чтобы избежать сигнатурного детекта) не подходило, т.к. процесс обновления в этих продуктах может затрагивать и не только антивирусные базы, но и исполняемые модули (компоненты защиты).

Почему мы взяли в тест другие популярные антивирусные продукты и сетевые экраны, коих найдется множество? Да потому, что они не имеют в своем составе модуля HIPS. Без этого предотвратить проникновения в ядро ОС у них объективно нет шансов.

Все продукты устанавливались с максимальными настройками, если их можно было задать без тонкого ручного изменения настроек HIPS. Если при инсталляции предлагался к использованию режим автообучения - то он и использовался до момента запуска вредоносных программ.

Перед проведением тестирования запускалась легитимная утилита cpu-z (небольшая программа, которая сообщает сведения об установленном в компьютере процессоре) и создавалось правило, которое предлагал тестируемый продукт (его HIPS-компонент). После создания правила на данную утилиту, режим автообучения отключался и создавался снимок состояние системы.

Затем поочередно запускались специально отобранные для теста вредоносные программы, фиксировалась реакция HIPS на события, связанные непосредственно с установкой, регистрацией, загрузкой драйвера и другие попытки записи в Ring 0. Как и в других тестах, перед проверкой следующей вредоносной программы производился возврат системы до сохраненного в начале снимка.

В участвующих в тесте антивирусах файловый монитор отключался, а в Kaspersky Internet Security 2009 вредоносное приложение вручную помещалось в слабые ограничения из недоверенной зоны.

Шаги проведения тестирования:

  1. Создание снимка чистой виртуальной машины (основной).
  2. Установка тестируемого продукта с максимальными настройками.
  3. Работа в системе (инсталляция и запуск приложений Microsoft Office, Adobe Reader, Internet Explorer), включение режима обучения (если таковой имеется).
  4. Отметка количества сообщений со стороны тестируемого продукта, запуск легитимной утилиты cpu-z и создание для нее правил.
  5. Отключение режима автообучения (если такой имеется).
  6. Перевод тестируемого продукта в интерактивный режим работы и создание очередного снимка виртуальной машины с установленным продуктом (вспомогательный).
  7. Создание снимков для всех тестируемых продуктов, выполняя откат к основному снимку и заново проводя пункты 2-4.
  8. Выбор снимка с тестируемым продуктом, загрузка ОС и поочередный запуск вредоносных программ каждый раз с откатом в первоначальное состояние, наблюдение за реакцией HIPS.

Результаты сравнительного тестирования

Плюс в таблице означает, что была реакция HIPS на некое событие со стороны вредоносной программы на проникновение в Ring 0 и была возможность пресечь это действие.

Минус - если вредоносный код сумел попасть в Ring 0, либо сумел открыть диск на посекторное чтение и произвести запись.

Таблица 1: Результаты сравнительного тестирования HIPS-компонент

Метод проникновения в Ring 0 PC Tools Jetico Online Armor Kaspersky Agnitum Comodo
StartServiceA
 -
 + + + -
 +
SCM
 -
 + + + -
 +
KnownDlls
 -
 + + -
 + +
RPC
 -
 + + + -
 +
ZwLoadDriver
 +
 -
 + + -
 +
ZwSystemDebugControl
 -
 + + + + +
\Device\PhysicalMemory
 + + + + + +
ZwSetSystemInformation
 -
 + + + + +
CreateFileA \\.\PhysicalDriveX
 -
 -
 +
 + + +
Итого пресечено:
2
 		7
 		9
 		8
 		5
 		9
Количество оповещений и запросов действий пользователя
Мало
 Очень много Много Мало Средне
 Много

Стоит отметить, что при полном отключении режима обучения некоторые из тестируемых продуктов (например, Agnitum Outpost Security Suite 6.5) могут показать лучший результат, но в этом случае пользователь гарантированно столкнется в большим количеством всевозможных алертов и фактическими затруднениями работы в системе, что было отражено при подготовке методологии данного теста.

Как показывают результаты, лучшие продуктами по предотвращению проникновения вредоносных программ на уровень ядра ОС являются Online Armor Personal Firewall Premium 3.0, Comodo Internet Security 3.8, Kaspersky Internet Security 2009.

Необходимо отметить, что Online Armor Personal Firewall Premium - это продвинутый фаеровол и не содержит в себе классических антивирусных компонент, в то врем как два других победителя - это комплексные решения класса Internet Security.

Обратной и негативной стороной работы всех HIPS-компонент является количество всевозможных выводимых ими сообщений и запросов действий пользователей. Даже самый терпеливый из них откажется от надежного HIPS, если тот будет слишком часто надоедать ему сообщениями об обнаружении подозрительных действий и требованиями немедленной реакции.

Минимальное количество запросов действий пользователя наблюдалось у Kaspersky Internet Security 2009, PC Tools Firewall Plus 5.0 и Agnitum Outpost Security Suite 6.5. Остальные продукты зачастую надоедали алертами.

«Поведенческий анализ является более эффективным способом предупреждения заражения неизвестной вредоносной программой, чем эвристические методы, основанные на анализе кода исполняемых файлов. Но в свою очередь они требуют определенных знаний со стороны пользователя и его реакции на те или иные события в системе (создание файла в системном каталоге, создание ключа автозагрузки неизвестным приложением, модификация памяти системного процесса и т.п.)», - комментирует Василий Бердников, эксперт сайт .

«В данном сравнении были отобраны самые известные продукты, имеющие на борту HIPS. Как видно, только три продукта смогли достойно препятствовать проникновению в нулевое кольцо. Так же очень важный параметр - кол-во сообщений (алертов) возникающих при повседневной работе за ПК и требующих решения пользователя. Именно тут и определяется технологическое преимущество продуктов - максимально контролировать систему и при этом использовать всевозможные технологии, для снижения кол-ва вопросов, задаваемых HIPS при запуске, инсталляции программ», - отмечает эксперт.

При запуске Безопасного браузера на ОС Windows 8/8.1 (x64) возможно появление ошибки в оранжевой рамке "Kaspersky Internet Security не обеспечивает полную защиту ваших данных: защита от создания снимков экрана выключена" .

Ошибка возникает по следующим причинам:

  • Функция не поддерживается аппаратно. Для работы этой функции необходимо, чтобы процессор и материнская плата на вашем компьютере поддерживали технологию виртуализации.
  • Заблокировано настройками в BIOS . Решение : в настройках BIOS включите поддержку сторонних гипервизоров.
  • Заблокировано работой другого ПО. Решение : закройте все приложения, использующие гипервизор (например, VMWare ) и перезапустите защищенный браузер.
  • Защита не включена в настройках параметров продукта. Решение : установите флажок в настройках продукта.

1. Проверьте включена ли функция блокировки снимков экрана в продукте

  1. Закройте все приложения, использующие гипервизор (например, VMWare ).
  2. Откройте окно настройки параметров продукта.
  3. В окне Настройка на вкладке Защита нажмите на Безопасные платежи .
  1. В окне Параметры Безопасных платежей в блоке Дополнительно установите флажок Блокировать создание снимков экрана при работе в Защищенном браузере .

Если в настройках продукта нет указанного параметра, функция не поддерживается на вашем компьютере.

Если в настройках продукта флажок установлен, а функция не работает, узнайте, поддерживается ли на вашем компьютере технология виртуализации (подробную инструкцию смотрите ниже).

2. Выясните, поддерживает ли компьютер технологию виртуализации

Компьютер поддерживает технологию виртуализации, если ее поддерживают процессор и материнская плата. Эту информацию посмотрите на сайте производителя вашего процессора и материнской платы.

Если виртуализация поддерживается, посмотрите, включена ли она в настройках BIOS:

  1. Нажмите на клавиатуре одновременно клавиши Ctrl , Shift и Esc .
  2. В окне Диспетчер задач нажмите на кнопку Подробнее .

  1. Перейдите на вкладку Производительность .
  2. На закладке ЦП посмотрите статус для строки Виртуализация (Включено , Выключено , Не подходит ).

  1. В зависимости от статуса виртуализации выполните следующее:
    • Включено . Включите функцию в настройках продукта (подробную инструкцию читайте выше).
    • Не подходит . В этом случае аппаратное обеспечение вашего компьютера (процессор, материнская плата) не поддерживает технологию виртуализации.
    • Выключено . Включите поддержку сторонних гипервизоров в настройках BIOS (подробную инструкцию читайте ниже).

3. Включите поддержку сторонних гипервизоров в настройках BIOS

  1. На Рабочем столе переведите курсор мыши в верхний правый угол и нажмите на кнопку Параметры .
  1. В нижней части экрана нажмите на Изменение параметров компьютера/Изменить параметры компьютера .

  1. Далее выполните следующее:

Для пользователей ОС Windows 8 :

  • В окне Параметры выберите закладку Общие -> Особые варианты загрузки и нажмите на кнопку Перезагрузить сейчас .

Для пользователей ОС Windows 8.1 :

  • В окне Параметры выберите закладку Обновление и восстановление.
  • В правой части окна Обновление и восстановление выберите Восстановление .
  • В пункте Особые варианты загрузки нажмите на кнопку Перезагрузить сейчас .
  1. В меню загрузки Выбор действия выберите Диагностика .

    В меню Диагностика выберите Дополнительные параметры .

  1. В меню Дополнительные параметры выберите .
  2. В меню Параметры встроенного ПО UEFI нажмите Перезагрузить .
  3. В настройках BIOS зайдите в раздел Configuration /Advanced /Advanced BIOS features (название зависит от версии BIOS на вашем компьютере).
  4. Для строки Intel Virtual Technology/ Intel Virtualization Technology/VT-d (возможны другие варианты названия)установите статус Enabled .
  5. Сохраните настройки и перезагрузите компьютер.

Примеры нескольких версий BIOS :

Award BIOS

American Megatrends BIOS

UEFI



Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить