מידע כללי: ניטור integrity בזמן אמת (Real time integrity monitoring - RTIM) הנה שיטה גנרית המשמשת לבלימת התפרצויות של ווירוסים מסוג PE מיד עם הופעתם. הדבר מושג ע'י מניעת הפתיחה של תוכניות שתקינותן נפגמה ע'י ווירוס. שיטת RTIM מבוססת על טכנולוגיית בדיקת אינטגריטי offline ואשר הוכנסה לראשונה לתחום האנטי-וירוס בשנת 1990, ע'י נץ מיחשוב. בדיקת אינטגריטי בזמן אמת (RTIM), ובאופן מקוון, מיושמת כחלק מ -Interceptor ופועלת במקביל לשיטות גנריות אחרות המיושמות אף הן ב - Interceptor . שיטת RTIM פועלת על פלטפורמות מבוססות NT בלבד, דהיינו NT4, W2K, 2003 server, ו – XP.
יעילותה של שיטת RTIM בולטת במיוחד בבלימת התפרצויות של וירוסי PE, חדשים כמו גם ישנים ומוכרים, ומניעת התפתחות ההתקפה למשבר בהיקף מלא. כפי שהודגם אינספור פעמים, רוב הנזק הנגרם ע'י וירוסים מתרחש בשעות ובימים הראשונים לאחר שילוחו לחופשי, ולפני שיצרני אנטי וירוס מספיקים לייצור ולהפיץ עדכון למוצריהם. הבעיה חמורה אף יותר בסביבה הארגונית, שם הפגיעות לווירוס עלולה להמשך אף שבועות וחודשים – ראה את תקרית Klez אשר שיתקה את מחשבי PC המנהלתיים של חיל האוויר ביוני 02', שלושה חודשים אחרי שהווירוס הפך לנפוץ ביותר (מחשבי ח'א היו מוגנים ע'י אנטי וירוס קלאסי בזמן התקרית).
איום חמור אחר הם ווירוסים המופצים באמצעות שיתוף קבצים המגיעים לתפוצה עולמית תוך שעות. גם כאן, RTIM הוא הפתרון אשר יעצור מתקפה מסוג זה מיד עם הופעתה, ללא צורך בעדכון כלשהו!
בסביבה הארגונית, טכניקת RTIM מספקת התרעה מיידית על מתקפת ווירוסים באמצעות IV Administrator, שם יוצגו התרעות אינטגריטי בעדיפות גבוהה ביותר.
אופן פעולה ושימוש: RTIM מבוסס על השימוש בבסיס הנתונים הקיים על כל מחשב המוגן ע'י InVircible, המוכר גם כ-'קובצי חתימות אינטגריטי'. בסיס הנתונים (קובצי החתימות) נוצר אוטומטית ומתוחזק ע'י הפעלה יומית של Audit & Integrity Expert System, כש – IV מותקן עם נתוני ברירת המחדל. כל תוכנית הנפתחת ע'י Windows נבדקת תחילה ע'י InVircible במטרה להבטיח כי היא נקיה ובטוחה לפתיחה. אם סוג הקובץ נכלל ברשימת התוכניות המאובטחות ע'י IV, וחתימת אינטגריטי שלה מצויה בבסיס הנתונים של IV, אז נערכת השוואה בין הסטטוס העכשווי של הקובץ לזה הנמצא ב'חתימה' האחרונה שלו, כדי לוודא כי לא בוצעו בו שינויים אותם ניתן לייחס לפעולת ווירוס. אם מתגלה שינוי אופייני לווירוס, נחסמת הפתיחה של הקובץ כדי למנוע טעינת הווירוס לזיכרון ונמנעת הפעלתו.
הייחוד בבדיקת האינטגריטי של InVircible הוא ביכולת להבחין בין שינויים חוקיים, כמו למשל החלפת הקובץ בגרסת שדרוג, לבין שינויים שמקורם הוא ווירוס או סוס טרויאני.
פעולת RTIM אינה דורשת מעורבות של המשתמש. הסריקה היומית של Audit & Integrity דואגת ליצירת קבצי החתימות של האינטגריטי ולתחזוקתם השוטפת.
על מנת להבטיח כי סריקת A&I היומית מתוזמנת כהלכה, עשה זאת:
הקלק על צלמית IV בסרגל המשימות, בחר IV Scheduler, ולחץ על כפתור schedule מתחת ל - Audit & Integrity
בדוק כי A&I מתוכנת לרוץ יומית (every day), בשעה 1:00 PM, ועם הפררמטרים כלהלן:
תחילת מסלול הסריקה הוא 'All local drives'
סמן את תיבת unattended’' אם אינה מסומנת
בחר מצב פעולה 'check only'
ניתן לשנות את שעת הסריקה במידה והמחשב אינו פועל בד'כ ב – 13:00, כפי שסביר שיקרה במחשבים ביתיים (אצל אלה שאינם עובדים מן הבית). ניתן גם לבחור סריקה פעמיים ביום (כל 12 שעות) כדי ל'תפוס' סריקה יומית אחת לפחות כשהמחשב מופעל. סריקת A&I במצב unattended אינה מפריעה לעבודה השוטפת.
סריקת A&I מתוזמנת נכון תבטיח עדכון שוטף של החתימות של קבצים מאובטחים (כל התוכניות), ע'י הוספת חתימות עבור תוכניות שנוספו מאז הסריקה האחרונה, או חידוש החתימה של קבצים אשר שודרגו, או ששונו על ידי תהליך לא וויראלי.
ברשת הארגונית, ניתן לתזמן את סריקת A&I היומית, או לשנות את הפרמטרים שלה, דרך דפון Configuration תחת IV Administrator.
התמונה למטה ממחישה הודעת Interceptor כשהוא נתקל בקובץ אשר שונה ע'י תהליך וויראלי:
אם אינך בטוח שהקובץ אכן נגוע, בחר אז באופציה ‘rename’. שינוי השם יהפוך את התוכנית לבלתי מזיקה (לא ניתן להפעילה, אפילו לא בכוח) ע'י החלפת התו האחרון של שם ההרחבה ב ~ (tilde). השתמש באופציה 'מחק' רק אם אתה בטוח שהקובץ נגוע ואתה מעדיף להחליפו מן המקור או מגיבוי, במקום לנקותו.
קובץ חשוד ניתן להעלות לבדיקה מקוונת, מקישור זה, ולקבל זיהוי של הווירוס, אם הוא כבר ידוע. שים לב כי כי יש לנטרל את RTIM כדי לשגר קובץ חשוד לבדיקה, אחרת IV יימנע את המשלוח. הקלק על צלמית IV, בחר Options, ובטל את סימון Check file integrity.
איבטוח מחדש של קובץ תקין: לעתים רחוקות IV יתריע על קובץ שהשתנה מבלי שהדבר קשור בוירוס. קובץ כזה ניתן לאבטח מחדש כדי למנוע התרעת שווא.
אופן ביצוע:
מתפריט IV בחר ב - Audit & Integrity
בחלון A&I, בחר את ספריית התחלת הסריקה המכילה את הקובץ שברצונך לאבטח מחדש והתחל את הסריקה
עם סיום הסריקה, בחר את הקובץ המבוקש עם הכפתור הימני של העכבר ובחר ב - re-secure מתוך התפריט
מפת האתר
