Этап 1. Установка приложения, вносящего изменения в системные файлы.

Как и многие вредоносные программы, «мирное» тестовое приложение пытается при установке изменить системные файлы. Подобная активность крайне опасна и может привести к самым плачевным последствиям.

Изменение замечено и успешно заблокировано.
Тест пройден.


Этап 2. Специальные тестовые программы.

А) Ghost Security Regtest

Изменение критических веток системного реестра MS Windows вредоносными программами – крайне опасное действие. Это может привести к тому, что вредоносная программа будет запускаться при старте системы, могут быть изменены настройки веб-браузера, электронной почты и других важнейших программ, а также может привести к полной неработоспособности системы. Тестовое приложение REGTEST пытается изменить ключевые ветки системного реестра.

Первая часть теста была пройдена безукоризненно, все попытки изменения реестра были замечены и пресечены. Вторая часть была пройдена, но с небольшими шероховатостями. Наблюдалось странное (но не критичное и не повлекшее за собой никаких последствий) поведение системы во время того, как тестовая программа производила перезагрузку.
Тест пройден.


Б) Scoundrel Simulator

Этот симулятор вредоносного воздействия пытается изменить домашнюю страницу MS Internet Explorer, отключить возможность изменять настройки Интернета, отключить возможность использовать редактор реестра REGEDIT, и прописаться в автозагрузку системы. Сделать ничего из этого при работающем Safe’n’Sec 1.1 ему не удалось.
Тест пройден.

В) Попытка завершения процесса основного процесса SAFENSEC.EXE при помощи программы PROCX.

В PROCX позволяет завершить процесс тремя способами. Ни одним из них завершить процесс не удалось. Далее приведены результаты попытки завершения процесса «брутальным» способом.

Выставляем самые жёсткие параметры завершения процесса:

Кстати, из этой картинки видно, что Safe’n’Sec практически не загружает систему, используя всего несколько мегабайт оперативной памяти.

Теперь, пытаясь завершить процесс SAFENSEC.EXE, получаем сообщение:

Процесс продолжает работать. Тест пройден.



Этап 3. Попытка осуществления некорректных пользовательских действий.

В процессе работы пользователь может случайно нарушить работоспособность системы или отдельных приложений (последнее более актуально, так как операционная система, как правило, блокирует доступ к важным для своей работы файлам, чего нельзя сказать о различных приложениях).
Используя Проводник, попробуем удалить какой-нибудь файл из системной папки WindowsSystem32, доступ к которому не блокируется операционной системой:

Safe’n’Sec реагирует на это действие, ставя пользователя в известность, что удаляемый файл находится в системной папке и его удаление может иметь нежелательные последствия для работы какого-нибудь приложения.
Тест пройден.

Этап 4. Попытка запуска зараженного вирусом приложения

В процессе тестирования был использован известный (и весьма опасный) сетевой червь семейства Backdoor.Win32.SdBot, прославившегося в свое время отключением от интернета всех школ Сингапура. На задействованном при тестировании компьютере не было иных средств антивирусной защиты, кроме Safe’n’Sec.
При запуске зараженного файла вирус загружается в оперативную память и пытается выполнить определенные действия. Сначала он создает свою копию в папке WindowsSystem32 (файл mkscan.exe):

Safe’n’Sec перехватывает эту попытку.

Далее вирус стремится осуществить изменения важных параметров системы:

Эта попытка также терпит неудачу.
В дальнейшем вирус старается зарегистрироваться в реестре на автозагрузку – с тем же результатом. Аналогичным образом Safe’n’Sec препятствует вредоносным действиям вируса при попытке заражения через сеть.
Тест пройден.

Этап 5. Проверка антивирусного модуля.

Антивирусный модуль Safe’n’Sec предназначен для проверки файлов на наличие известных вирусов с использованием антивирусных баз компании BitDefender (Safe’n’Sec поставляется в комплектации как с антивирусным модулем, так и без него).
Проверка дает следующие результаты (объектом проверки была конкретная папка):

Зараженный файл найден и отправлен на карантин, так как антивирусный модуль не осуществляет лечения файлов (для этого можно использовать стандартные антивирусные пакеты известных производителей).
Тест пройден.

На сегодняшний день StarForce представила четыре решения из собственной линейки превентивных средств защиты - Safe’n’Sec ver. 1.1 и Safe’n’Sec ver. 1.1 + antivirus (превентор оснащен антивирусными базами для возможности удаления известных вирусов) для индивидуальных и корпоративных пользователей. Эти продукты имеют единый механизм контроля поведения системы, однако корпоративная версия имеет ряд дополнительных возможностей.

Прежде всего корпоративная версия имеет административную консоль, которая позволяет системному администратору дистанционно инсталлировать и настраивать программу на компьютерах пользователей. Отличительной особенностью данного модуля является отсутствие необходимости в его инсталляции, а следовательно возможность запуска с любого носителя (например USB drive) на любом компьютере корпоративной сети. Это значительно повышает мобильность и скорость реагирования системных администраторов.
Кроме того, предусмотрена возможность настройки существующих политик и создания новых политик, которые будут приводиться в соответствие как с уникальными приложениями, так и с уникальными реализациями.

Дополнительный модуль позволит поддерживать автоматизированное создание политик, что значительно снизит издержки на администрирование за счет отсутствия еобходимости создавать политики вручную. Вся статистика о событиях, генерируемых в хостах, будет поступать в централизованное хранилище данных, где будет формироваться отчетность об активности в локальной сети. Система оповещения о деятельности вредоносного приложения будет поддерживать стандартные интерфейсы передачи сигналов тревоги, равно как и допускать настраиваемые интерфейсы для удобной интеграции в существующие корпоративные системы.