Сканер сети на вирусы. Как просканировать большую сеть

Антивирусные сканеры предназначены для проверки компьютера на наличие вредоносного программного обеспечения, устранения обнаруженных угроз. Антивирусное приложение – сканер, проверяет систему в произвольный момент времени, не обеспечивает постоянную защиту компьютера.

В этом проявляется разница между антивирусными сканерами и мониторами (антивирусами). Антивирусный сканер проводит разовые проверки по требованию, а антивирус, установленный на компьютере, выполняет постоянную защиту ПК.

Для чего нужны антивирусные программы - сканеры? Антивирусные сканеры для Windows необходимы для проверки компьютера в случаях, когда стационарно установленные антивирусы не справляются со своей работой. Например, система стала сильно тормозить без видимых причин, в работе некоторых программ стали появляться сбои и т. п.

Вполне возможно, что на компьютер проникло вредоносное ПО. Поэтому имеет смысл проверить и, если что-то обнаружено, вылечить компьютер, устранить возникшие проблемы.

Некоторые пользователи не использую антивирусные приложения на своих компьютерах. В таких случаях, следует время от времени выполнять проверку системы с помощью антивирусного сканера для профилактики.

Часть сканеров использует в своей работе облачные серверы, с которыми взаимодействуют во время проверки компьютера. Поэтому, для работы подобного типа программ необходимо интернет соединение.

Другие антивирусные сканеры полностью автономные, они имеют в своем составе все актуальные антивирусные базы на момент загрузки приложения. Для новой проверки следует скачать свежую версию антивирусного сканера.

В статье мы разберем бесплатные антивирусные сканеры (увы, есть и платные программы этого типа), которые работают без установки на компьютер. Подобные приложения имеют некоторые преимущества, так как встречаются ситуации, когда в результате тяжелого заражения системы становится невозможным установка антивирусной программы на компьютер. Портативная, переносная версия (portable) антивирусного сканера позволит запустить программу не только с диска компьютера, но и со съемного носителя, например, с USB флешки.

Для проведения проверки на вирусы следует использовать сканер от другого производителя, отличного от разработчика антивируса, установленного на ПК.

В этой инструкции представлены лучшие антивирусные сканеры, поддерживающие русский язык, работающие в операционной системе Windows.

Dr.Web CureIt! - мощная лечащая утилита

Dr.Web CureIt! - популярный антивирусный сканер для лечения зараженных компьютеров от российской компании Dr.Web. Сканер Dr.Web CureIt обнаруживает различные виды вредоносного ПО, не имеет конфликтов с установленными на компьютере антивирусами.

Скачайте лечащую утилиту Dr.Web CureIt! с официального сайта компании Доктор Веб. Для новой проверки ПК скачайте свежую версию программы с актуальными базами (обновления выпускаются часто, несколько раз в день).

Порядок использования утилиты Dr.Web CureIt:

1. После окончания загрузки, запустите приложение на компьютере (программа имеет имя из набора символов для противодействия вирусам, чтобы они не могли заблокировать запуск утилиты на компьютере).
2. После запуска утилиты
3. Нажмите на кнопку «Начать проверку» или выберите отдельные объекты для проверки.

Если в результате сканирования системы было обнаружено вредоносное ПО, проведите лечение компьютера от вирусов.

Более подробно об использовании Dr.Web CureIt! читайте в статье.

Kaspersky Virus Removal Tool - мощный антивирусный сканер

Kaspersky Virus Removal Tool (KVRT) - продукт российской компании Лаборатория Касперского для обнаружения и удаления вирусов с компьютера. Приложение эффективно справляется с возложенными на нее задачами.

Скачайте утилиту Kaspersky Virus Removal Tool с официального сайта Лаборатории Касперского. Для нового сканирования скачайте последнюю версию KVRT (приложение обновляется несколько раз в день).

Процесс проверки на вирусы в Kaspersky Virus Removal Tool проходит в несколько шагов:

1. Запустите KVRT на компьютере.
2. Примите условия лицензионного соглашения.
3. В окне «Все готово к проверке» нажмите на кнопку «Начать проверку».

Получите отчет о проверке, выполните лечение или удаление обнаруженных вредоносных элементов с компьютера.

Для подробного ознакомления с работой Kaspersky Virus Removal Tool перейдите по .

Emsisoft Emergency Kit - аварийный лечащий комплект

Emsisoft Emergency Kit - аварийный комплект утилит для лечения зараженных компьютеров. Программа имеет в своем составе несколько инструментов для противодействия вредоносному программному обеспечению: графический инструмент Emergency Kit Scanner и инструмент Commandline Scanner, запускаемый из командной строки.

Скачайте Emsisoft Emergency Kit с официального сайта новозеландской компании Emsisoft, а затем выполните действия:

1. Распакуйте программу на компьютере. При настройках по умолчанию, на диске «С:» создается папка «EEK».
2. Затем откроется папка с программой, в которой нужно кликнуть по приложению «Start Emergency Kit Scanner».
3. Примите условия лицензионного соглашения, а потом обновите программу.
4. Нажмите на кнопку «Сканирование».

1. Выберите тип проверки: «Быстрая проверка», «Проверка на угрозы», «Быстрая проверка».
2. Запустите сканирование.
3. Обнаруженные угрозы будут помещены в карантин, удалите вирусы с компьютера.

О работе приложения Emsisoft Emergency Kit подробнее читайте .

ESET Online Scanner - онлайн сканер вирусов

ESET Online Scanner - онлайн сканер для проверки компьютера и удаления с ПК обнаруженных угроз. В своей работе утилита использует облачные технологии для защиты от разных типов угроз.

Сначала потребуется скачать ESET Online Scanner с официального сайта словацкой компании ESET.

Затем выполните следующие шаги:

1. Примите лицензионное соглашение.
2. Настройте параметры сканирования.
3. Нажмите на кнопку «Сканировать».

После завершения проверки, удалите найденные угрозы.

Более подробно о ESET Online Scanner читайте на странице.

F-Secure Online Scanner - облачный сканер

F-Secure Online Scanner - облачный онлайн сканер для проверки компьютера на наличие вредоносного ПО. Приложение использует при проверке компьютера облачную антивирусную базу.

Загрузите приложение F-Secure Online Scanner с официального сайта финской компании F-Secure.

Проведите проверку в F-Secure Online Scanner, выполнив шаги:

1. После запуска программы, примите условия лицензионного соглашения.
2. Нажмите на кнопку «Принять и проверить».
3. Проведите проверку и очистку системы от вредоносных файлов и приложений.

Подробнее о работе F-Secure Online Scanner вы узнаете из статьи.

Norton Power Eraser - выявление вирусных угроз

Norton Power Eraser - инструмент для выявления угроз, которые трудно обнаружить обычным антивирусом. Программа применяет агрессивные технологии сканирования для выявления вредоносного софта.

Norton Power Eraser можно скачать с официального сайта американской компании Symantec.

При проверке выполните последовательные шаги:

1. Запустите программу.
2. Нажмите на кнопку «Сканировать на предмет угроз».

1. Удалите обнаруженные угрозы.

Если понадобиться, в программе Norton Power Eraser можно выполнить расширенные сканирования.

Подробная статья про Norton Power Eraser находится .

Microsoft Safety Scanner - сканер для поиска вирусов

Антивирусное средство от американской корпорации - Microsoft Safety Scanner обнаруживает и удаляет вредоносное программное обеспечение в операционной системе Windows. Для выполнения проверки, пользователю нужно будет скачать утилиту, а затем запустить сканер на компьютере.

Перед выполнением загрузки, на странице Microsoft Safety Scanner официального сайта выберите язык и версию разрядности (64-bit или 32-bit) приложения. Антивирусный сканер сохраняет работоспособность в течение 10 дней. Для следующей проверки необходимо загрузить новую версию утилиты с актуальными антивирусными базами.

В Microsoft Safety Scanner проверка компьютера на вирусы проходит в следующем порядке:

1. Запустите программу Microsoft Safety Scanner на компьютере.
2. Примите условия лицензионного соглашения.
3. В следующем окне нажмите на кнопку «Далее».
4. Выберите тип проверки: «Быстрая проверка», «Полная проверка», «Выборочная проверка».

1. Запустите проверку на вирусы.
2. Дождитесь появления результатов сканирования.
3. В случае обнаружения вирусов или другого вредоносного ПО, удалите опасные объекты с компьютера.

Прочитайте подробную статью про использование Microsoft Safety Scanner.

COMODO Cleaning Essentials - инструменты для борьбы с вирусами

COMODO Cleaning Essentials - набор инструментов для определения и удаления вирусов и опасных процессов с компьютера. В состав приложения входит антивирусный сканер, обнаруживающий различные типы вирусов.

Скачайте с официального сайта американской компании Comodo. На странице загрузки выберите разрядность операционной системы Windows, установленной на компьютере. Распакуйте архив с приложением в удобном месте.

Для выполнения проверки проделайте следующее:

1. Сначала откройте папку с именем «cce_номер_версии_сканера», а затем папку «cce_x64» или «cce_86, в зависимости от выбранной разрядности системы.
2. Кликните по файлу «CCE» (Приложение) для запуска программы.
3. Примите условия лицензионного соглашения.
4. Выберите тип сканирования: «Разумное сканирование», «Полное сканирование» или «Выборочное сканирование».

После завершения проверки, удалите вредоносные элементы с компьютера.

Выводы статьи

В статье рассмотрены лучшие антивирусные сканеры, не требующие установки на компьютер. Программы запускаются с любого удобного места на компьютере, в том числе со съемного носителя. Антивирусные сканеры запускаются пользователем самостоятельно для разовой проверки компьютера. Приложения проводят сканирование системы, удаляют вирусы и вредоносные программы с компьютера.

Проблема эпидемии сетевых червей актуальна для любой локальной сети. Рано или поздно может возникнуть ситуация, когда в ЛВС проникает сетевой или почтовый червь, который не детектируется применяемым антивирусом. Сетевой вирус распространяется по ЛВС через не закрытые на момент заражения уязвимости операционной системы или через доступные для записи общие ресурсы. Почтовый вирус, как следует из названия, распространяется по электронной почте при условии, что он не блокируется клиентским антивирусом и антивирусом на почтовом сервере. Кроме того, эпидемия в ЛВС может быть организована изнутри в результате деятельности инсайдера. В данной статье мы рассмотрим практические методики оперативного анализа компьютеров ЛВС с применением различных средств, в частности с помощью авторской утилиты AVZ.

Постановка задачи

В случае обнаружения эпидемии или некой нештатной активности в сети администратор должен оперативно решить минимум три задачи:

• обнаружить зараженные ПК в сети;
• найти образцы вредоносной программы для отправки в антивирусную лабораторию и выработки стратегии противодействия;
• принять меры для блокирования распространения вируса в ЛВС и его уничтожения на зараженных компьютерах.

В случае деятельности инсайдера основные шаги анализа идентичны и чаще всего сводятся к необходимости обнаружения установленного инсайдером постороннего ПО на компьютерах ЛВС. В качестве примера такого ПО можно назвать утилиты удаленного администрирования, клавиатурные шпионы и различные троянские закладки.

Рассмотрим более подробно решение каждой из поставленных задач.

Поиск зараженных ПК

Для поиска зараженных ПК в сети можно применять как минимум три методики:

• автоматический удаленный анализ ПК - получение информации о запущенных процессах, загруженных библиотеках и драйверах, поиск характерных закономерностей - например процессов или файлов с заданными именами;
• исследование трафика ПК с помощью сниффера - данный метод очень эффективен для отлова спам-ботов, почтовых и сетевых червей, однако основная сложность в применении сниффера связана с тем, что современная ЛВС строится на базе коммутаторов и, как следствие, администратор не может осуществлять мониторинг трафика всей сети. Проблема решается двумя путями: запуском сниффера на маршрутизаторе (что позволяет осуществлять мониторинг обмена данными ПК с Интернетом) и применением мониторинговых функций коммутаторов (многие современные коммутаторы позволяют назначить порт мониторинга, на который дублируется трафик одного или нескольких портов коммутатора, указанных администратором);
• исследование нагрузки на сеть - в данном случае очень удобно применять интеллектуальные коммутаторы, которые позволяют не только оценивать нагрузку, но и удаленно отключать указанные администратором порты. Данная операция существенно упрощается при наличии у администратора карты сети, на которой имеются данные о том, какие ПК подключены к соответствующим портам коммутатора и где они расположены;
• применение ловушек (honeypot) - в локальной сети настоятельно рекомендуется создать несколько ловушек, которые позволят администратору своевременно обнаружить эпидемию.

Автоматический анализ ПК в сети

Автоматический анализ ПК можно свести к трем основным этапам:

• проведение полного исследования ПК - запущенные процессы, загруженные библиотеки и драйверы, автозапуск;
• проведение оперативного обследования - например поиск характерных процессов или файлов;
• карантин объектов по определенным критериям.

Все перечисленные задачи можно решить при помощи авторской утилиты AVZ, которая рассчитана на запуск из сетевой папки на сервере и поддерживает скриптовый язык для автоматического обследования ПК. Для запуска AVZ на компьютерах пользователей необходимо:

1. Поместить AVZ в открытую для чтения сетевую папку на сервере.
2. Создать в этой папке подкаталоги LOG и Qurantine и разрешить пользователям запись в них.
3. Запустить AVZ на компьютерах ЛВС при помощи утилиты rexec или логон-скрипта.

Запуск AVZ на шаге 3 должен производиться при таких параметрах:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

В данном случае параметр Priority=-1 понижает приоритет процесса AVZ, параметры nw=Y и nq=Y переключают карантин в режим «сетевой запуск» (в этом случае в папке карантина для каждого компьютера создается подкаталог, имя которого совпадает с сетевым именем ПК), HiddenMode=2 предписывает запретить пользователю доступ к GUI и управлению AVZ, и, наконец, самый важный параметр Script задает полное имя скрипта с командами, которые AVZ выполнит на компьютере пользователя. Скриптовый язык AVZ достаточно прост для использования и ориентирован исключительно на решение задач обследования компьютера и его лечения. Для упрощения процесса написания скриптов можно использовать специализированный редактор скриптов, который содержит оперативную подсказку, мастер создания типовых скриптов и средства проверки корректности написанного скрипта без его запуска (рис. 1).

Рис. 1. Редактор скриптов AVZ

Рассмотрим три типовых скрипта, которые могут пригодиться в ходе борьбы с эпидемией. Во-первых, нам потребуется скрипт для исследования ПК. Задача скрипта - произвести исследование системы и создать протокол с результатами в заданной сетевой папке. Скрипт имеет следующий вид:

ActivateWatchDog(60 * 10);

// Запуск сканирования и анализа

// Исследование системы

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Завершение работы AVZ

В ходе выполнения данного скрипта в папке LOG (предполагается, что она создана в каталоге AVZ на сервере и доступна пользователям для записи) будут создаваться HTML-файлы с результатами исследования компьютеров сети, причем для обеспечения уникальности в имя протокола включается имя исследуемого компьютера. В начале скрипта располагается команда включения сторожевого таймера, который принудительно завершит процеcc AVZ через 10 минут в случае, если в ходе выполнения скрипта возникнут сбои.

Протокол AVZ удобен для изучения вручную, однако для автоматизированного анализа он мало пригоден. Кроме того, администратору часто известно имя файла вредоносной программы и требуется только проверить наличие или отсутствие данного файла, а при наличии - поместить в карантин для анализа. В этом случае можно применить скрипт следующего вида:

// Включение сторожевого таймера на 10 минут

ActivateWatchDog(60 * 10);

// Поиск вредоносной программы по имени

QuarantineFile(‘%WinDir%\smss.exe’, ‘Подозрение на LdPinch.gen’);

QuarantineFile(‘%WinDir%\csrss.exe’, ‘Подозрение на LdPinch.gen’);

//Завершение работы AVZ

В этом скрипте задействуется функция QuarantineFile, которая совершает попытку карантина указанных файлов. Администратору остается только проанализировать содержимое карантина (папка Quarantine\сетевое_имя_ПК\дата_каратина\) на наличие помещенных в карантин файлов. Следует учесть, что функция QuarantineFile автоматически блокирует помещение в карантин файлов, опознанных по базе безопасных AVZ или по базе ЭЦП Microsoft. Для практического применения данный скрипт можно усовершенствовать - организовать загрузку имен файлов из внешнего текстового файла, проверять найденные файлы по базам AVZ и формировать текстовый протокол с результатами работы:

// Поиск файла с указанным именем

function CheckByName(Fname: string) : boolean;

Result:= FileExists(FName) ;

if Result then begin

case CheckFile(FName) of

1: S:= ‘, доступ к файлу блокируется’;

1: S:= ‘, опознан как Malware (‘+GetLastCheckTxt+’)’;

2: S:= ‘, подозревается файловым сканером (‘+GetLastCheckTxt+’)’;

3: exit; // Безопасные файлы игнорируем

AddToLog(‘Файл ‘+NormalFileName(FName)+’ имеет подозрительное имя’+S);

//Добавление указанного файла в карантин

QuarantineFile(FName,’подозрительный файл’+S);

SuspNames: TStringList; // Список имен подозрительных файлов

// Проверка файлов по обновляемой базе данных

if FileExists(GetAVZDirectory + ‘files.db’) then begin

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile(‘files.db’);

AddToLog(‘База имен загружена - количество записей = ‘+inttostr(SuspNames.Count));

// Цикл поиска

for i:= 0 to SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog(‘Ошибка загрузки списка имен файлов’);

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

Для работы данного скрипта необходимо создать в папке AVZ доступные пользователям для записи каталоги Quarantine и LOG, а также текстовый файл files.db - каждая строка данного файла будет содержать имя подозрительного файла. Имена файлов могут включать макросы, наиболее полезные из которых - %WinDir% (путь к папке Windows) и %SystemRoot% (путь к папке System32). Другим направлением анализа может стать автоматическое исследование списка процессов, запущенных на компьютерах пользователей. Информация о запущенных процессах есть в протоколе исследования системы, но для автоматического анализа удобнее применять следующий фрагмент скрипта:

procedure ScanProcess;

S:= ‘’; S1:= ‘’;

// Обновление списка процессов

RefreshProcessList;

AddToLog(‘Количество процессов = ‘+IntToStr(GetProcessCount));

// Цикл анализа полученного списка

for i:= 0 to GetProcessCount - 1 do begin

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Поиск процесса по имени

if pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 then

S:= S + GetProcessName(i)+’,’;

if S <> ‘’ then

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Исследование процессов в данном скрипте выполнено в виде отдельной процедуры ScanProcess, поэтому ее несложно поместить в собственный скрипт. Процедура ScanProcess строит два списка процессов: полный список процессов (для последующего анализа) и список процессов, которые, с точки зрения администратора, считаются опасными. В данном случае для демонстрации в качестве опасного рассматривается процесс с именем ‘trojan.exe’. Информация об опасных процессах добавляется в текстовый файл _alarm.txt, данные обо всех процессах - в файл _all_process.txt. Легко заметить, что можно усложнить скрипт, добавив в него, к примеру, проверку файлов процессов по базе безопасных файлов или проверку имен исполняемых файлов процессов по внешней базе. Подобная процедура применяется в скриптах AVZ, используемых в «Смоленскэнерго»: администратор периодически изучает собранную информацию и модифицирует скрипт, добавляя в него имя процессов запрещенных по политике безопасности программ, например ICQ и MailRu.Agent, что позволяет оперативно проверить наличие запрещенного ПО на изучаемых ПК. Другое применение списка процессов - поиск ПК, на которых отсутствует обязательный процесс, например антивирус.

В завершение рассмотрим последний из полезных скриптов анализа - скрипт автоматического карантина всех файлов, которые не опознаются по базе безопасных AVZ и по базе ЭЦП Microsoft:

// Выполнение автокарантина

ExecuteAutoQuarantine;

Автоматический карантин изучает запущенные процессы и загруженные библиотеки, службы и драйверы, около 45 способов автозапуска, модули расширения браузера и проводника, обработчики SPI/LSP, задания планировщика, обработчики системы печати и т.п. Особенностью карантина является то, что файлы в него добавляются с контролем повторов, поэтому функцию автокарантина можно вызывать многократно.

Достоинство автоматического карантина заключается в том, что с его помощью администратор может оперативно собрать потенциально подозрительные файлы со всех компьютеров сети для их изучения. Простейшей (но весьма эффективной на практике) формой изучения файлов может быть проверка полученного карантина несколькими популярными антивирусами в режиме максимальной эвристики. Следует отметить, что одновременный запуск автокарантина на нескольких сотнях компьютеров может создать высокую нагрузку на сеть и на файловый сервер.

Исследование трафика

Исследование трафика можно проводить тремя способами:

• вручную при помощи снифферов;
• в полуавтоматическом режиме - в данном случае сниффер собирает информацию, и затем его протоколы обрабатываются либо вручную, либо некоторым ПО;
• автоматически при помощи систем обнаружения вторжений (IDS) типа Snort (http://www.snort.org/) либо их программных или аппаратных аналогов. В простейшем случае IDS состоит из сниффера и системы, анализирующей собираемую сниффером информацию.

Система обнаружения вторжений является оптимальным средством, так как позволяет создавать наборы правил для обнаружения аномалии в сетевой активности. Второе ее преимущество состоит в следующем: большинство современных IDS позволяют размещать агенты мониторинга трафика на нескольких узлах сети - агенты собирают информацию и передают ее. В случае же применения сниффера очень удобно пользоваться консольным UNIX-сниффером tcpdump. Например, для мониторинга активности по порту 25 (протокол SMTP) достаточно запустить сниффер с командной строкой вида:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

В данном случае ведется захват пакетов через интерфейс em0; информация о захваченных пакетах будет сохраняться в файле smtp_log.txt. Протокол сравнительно просто анализировать вручную, в данном примере анализ активности по порту 25 позволяет вычислить ПК с активными спам-ботами.

Применение Honeypot

В качестве ловушки (Honeypot) можно использовать устаревший компьютер, производительность которого не позволяет применять его для решения производственных задач. Например, в сети автора в качестве ловушки успешно применяется Pentium Pro c 64 Мбайт оперативной памяти. На этот ПК следует установить наиболее распространенную в ЛВС операционную систему и выбрать одну из стратегий:

• Установить операционную систему без пакетов обновлений - она будет индикатором появления в сети активного сетевого червя, эксплуатирующего любую из известных уязвимостей для данной операционной системы;
• установить операционную систему с обновлениями, которые установлены на других ПК сети - Honeypot будет аналогом любой из рабочих станций.

Каждая из стратегий имеет как свои плюсы, так и минусы; автор в основном применяет вариант без обновлений. После создания Honeypot следует создать образ диска для быстрого восстановления системы после ее повреждения вредоносными программами. В качестве альтернативы образу диска можно использовать системы отката изменений типа ShadowUser и его аналогов. Построив Honeypot, следует учесть, что ряд сетевых червей ищут заражаемые компьютеры путем сканирования диапазона IP, отсчитываемого от IP-адреса зараженного ПК (распространенные типовые стратегии - X.X.X.*, X.X.X+1.*, X.X.X-1.*), - следовательно, в идеале Honeypot должен быть в каждой из подсетей. В качестве дополнительных элементов подготовки следует обязательно открыть доступ к нескольким папкам на Honeypot-системе, причем в данные папки следует положить несколько файлов-образцов различного формата, минимальный набор - EXE, JPG, MP3.

Естественно, что, создав Honeypot, администратор должен отслеживать его работу и реагировать на любые аномалии, обнаруженные на данном компьютере. В качестве средств регистрации изменений можно применять ревизоры, для регистрации сетевой активности можно использовать сниффер. Важным моментом является то, что у большинства снифферов предусмотрена возможность настройки отправки оповещения администратору в случае обнаружения заданной сетевой активности. Например, в сниффере CommView правило предполагает указание «формулы», описывающей сетевой пакет, или задание количественных критериев (отправка более заданного количества пакетов или байт в секунду, отправка пакетов на неопознанные IP- или MAC-адреса) - рис. 2.

Рис. 2. Создание и настройка предупреждения о сетевой активности

В качестве предупреждения удобнее всего использовать сообщения электронной почты, отправляемые на почтовый ящик администратора, - в этом случае можно получать оперативные оповещения от всех ловушек в сети. Кроме того, если сниффер позволяет создавать несколько предупреждений, есть смысл дифференцировать сетевую активность, выделив работу с электронной почтой, FTP/HTTP, TFTP, Telnet, MS Net, повышенный трафик более 20-30 пакетов в секунду по любому протоколу (рис. 3).

Рис. 3. Письмо-оповещение, высылаемое
в случае обнаружения пакетов, соответствующих заданным критериям

При организации ловушки неплохо разместить на ней несколько применяемых в сети уязвимых сетевых служб или установить их эмулятор. Простейшим (и бесплатным) является авторская утилита APS, работающая без инсталляции. Принцип работы APS сводится к прослушиванию множества описанных в ее базе портов TCP и UDP и выдаче в момент подключения заранее заданного или случайно генерируемого отклика (рис. 4).

Рис. 4. Главное окно утилиты APS

На рисунке приведен скриншот, снятый во время реального срабатывания APS в ЛВС «Смоленскэнерго». Как видно на рисунке, зафиксирована попытка подключения одного из клиентских компьютеров по порту 21. Анализ протоколов показал, что попытки периодические, фиксируются несколькими ловушками в сети, что позволяет сделать вывод о сканировании сети с целью поиска и взлома FTP-серверов путем подбора паролей. APS ведет протоколы и может отправлять администраторам сообщения с отчетами о зарегистрированных подключениях к контролируемым портам, что удобно для оперативного обнаружения сканирования сети.

При создании Honeypot полезно также ознакомиться с онлайн-ресурсами по данной теме, в частности с сайтом http://www.honeynet.org/. В разделе Tools данного сайта (http://www.honeynet.org/tools/index.html) можно найти ряд инструментов для регистрации и анализа атак.

Дистанционное удаление вредоносных программ

В идеальном случае после обнаружения образцов вредоносных программ администратор отправляет их в антивирусную лабораторию, где они оперативно изучаются аналитиками и в базы антивируса вносятся соответствующие сигнатуры. Эти сигнатуры через автоматическое обновление попадают на ПК пользователей, и антивирус производит автоматическое удаление вредоносных программ без вмешательства администратора. Однако эта цепочка не всегда работает как положено, в частности возможны следующие причины сбоя:

• по ряду независимых от администратора сети причин образы могут не дойти до антивирусной лаборатории;
• недостаточная оперативность антивирусной лаборатории - в идеале на изучение образцов и их внесение в базы уходит не более 1-2 часов, то есть в пределах рабочего дня можно получить обновленные сигнатурные базы. Однако не все антивирусные лаборатории работают столь оперативно, и обновления можно ждать несколько дней (в редких случаях - даже недель);
• высокая работоспособность антивируса - ряд вредоносных программ после активации уничтожают антивирусы или всячески нарушают их работу. Классические примеры - внесение в файл hosts записей, блокирующих нормальную работу системы автообновления антивируса, удаление процессов, службы и драйверов антивирусов, повреждение их настроек и т.п.

Следовательно, в перечисленных ситуациях придется бороться с вредоносными программами вручную. В большинстве случаев это несложно, так как по результатам исследования компьютеров известны зараженные ПК, а также полные имена файлов вредоносных программ. Остается только произвести их дистанционное удаление. Если вредоносная программа не защищается от удаления, то уничтожить ее можно скриптом AVZ следующего вида:

// Удаление файла

DeleteFile(‘имя файла’);

ExecuteSysClean;

Данный скрипт удаляет один заданный файл (или несколько файлов, так как команд DeleteFile в скрипте может быть неограниченное количество) и затем производит автоматическую чистку реестра. В более сложном случае вредоносная программа может защищаться от удаления (например, пересоздавая свои файлы и ключи реестра) или маскироваться по руткит-технологии. В этом случае скрипт усложняется и будет иметь следующий вид:

// Антируткит

SearchRootkit(true, true);

// Управление AVZGuard

SetAVZGuardStatus(true);

// Удаление файла

DeleteFile(‘имя файла’);

// Включение протоколирования BootCleaner

BC_LogFile(GetAVZDirectory + ‘boot_clr.log’);

// Импорт в задание BootCleaner списка файлов, удаленных скриптом

BC_ImportDeletedList;

// Активация BootCleaner

// Эвристическая чистка системы

ExecuteSysClean;

RebootWindows(true);

Данный скрипт включает активное противодействие руткитам, применение системы AVZGuard (это блокиратор активности вредоносных программ) и системы BootCleaner. BootCleaner - это драйвер, выполняющий удаление заданных объектов из KernelMode в ходе перезагрузки, на ранней стадии загрузки системы. Практика показывает, что подобный скрипт в состоянии уничтожить подавляющее большинство существующих вредоносных программ. Исключение составляют malware, меняющие имена своих исполняемых файлов при каждой перезагрузке, - в данном случае обнаруженные в ходе исследования системы файлы могут быть переименованы. В этом случае потребуется лечение компьютера вручную или создание собственных сигнатур вредоносной программы (пример реализующего сигнатурный поиск скрипта описан в справке AVZ).

Заключение

В данной статье мы рассмотрели некоторые практические методики борьбы с эпидемией ЛВС вручную, без использования антивирусных продуктов. Большинство описанных методик также могут применяться для поиска постороннего ПК и троянских закладок на компьютерах пользователей. При возникновении затруднений с поиском вредоносных программ или созданием скриптов лечения администратор может воспользоваться разделом «Помогите» форума http://virusinfo.info или разделом «Борьба с вирусами» форума http://forum.kaspersky.com/index.php?showforum=18. Изучение протоколов и помощь в лечении осуществляются на обоих форумах бесплатно, анализ ПК ведется по протоколам AVZ, и в большинстве случаев лечение сводится к выполнению на зараженных ПК скрипта AVZ, составленного опытными специалистами данных форумов.

Неработающая сетевая карта не позволит вам выходить в интернет или локальную сеть, если подключение к ним происходит через сетевой адаптер. Сетевые карты бывают встроенные или внешние. Если карта внешняя, посмотрите, полностью ли она вставлена в слот. Также проверьте плотность соединения сетевого кабеля с разъемом адаптера. Если эти варианты не сработали или у вас встроенный сетевой адаптер, скорее всего дело в системных настройках.

Если перестал работать интернет . В панели задач проверьте состояние подключения. Если на значке доступа к интернету есть красный крестик, то соединение отсутствует. Попробуйте включить его. Для этого щелкните на значке интернета и выберите «Центр управления сетями и общим доступом». Кликните на красном крестике в схеме сетевого соединения. Запустится программа диагностики, которая устранит неполадки и включит сетевой адаптер, если он отключен. Неисправность драйверов . Если неправильно установлены драйверы сетевой карточки или они были повреждены, следует переустановить их или сделать откат до последнего работающего состояния. Для этого нажмите «Пуск», щелкните правой клавишей мыши на «Компьютер» и из списка команд выберите «Свойства». В меню слева откройте «Диспетчер устройств». В разделе «Сетевые адаптеры» ваше устройство может быть отмечено восклицательным знаком, что означает его неисправность. Дважды щелкните на адаптере, выберите вкладку «Драйвер» и нажмите «Откатить».

Если откат не сработал, попробуйте обновить драйверы. Для этого во вкладке «Драйвер» над кнопкой «Откатить» нажмите на «Обновить». Выберите «Автоматический поиск». Если на компьютере есть рабочие драйверы, Windows найдет их и установит. Если таковых нет, придется скачать их самостоятельно. Переустановка драйверов . Для встроенных сетевых адаптеров достаточно вставить диск, который идет в комплекте с вашей материнской платой, и указать путь обновления к папке с драйверами. Во вкладке «Драйвер» нажмите «Обновить» – «Поиск и установка вручную» – Путь к папке Drivers на компакт-диске. Для облегчения поиска отметьте пункт «Включая вложенные папки». Нажмите «Далее». Система найдет и установит рабочие файлы. Если ваша карта внешняя и нет диска с драйверами, придется искать их самому. Для этого потребуется название сетевого адаптера . Его можно узнать в диспетчере устройств или прочитав наклейку на самой карте. На компьютере с доступом в сеть зайдите на этот сайт и в поле для поиска введите название своей сетевой карты. Перейдите по предложенной ссылке. Выберите драйвер под вашу версию Windows и нажмите Download. Откройте скачанный файл и запустите setup.exe на компьютере с неисправной сетевой картой. В меню программы выберите «Исправить». Еще один вариант неполадок – ваша сетевая карта отключена и ее не видно в диспетчере устройств. Не стоит паниковать. Если она работала до этого исправно, то ее можно включить снова. Для этого в диспетчере устройств кликните правой кнопкой мыши на «Сетевые адаптеры» и выберите «Обновить конфигурацию оборудования». Технология Plug and Play должна сразу найти ваше устройство и попытаться его подключить.

Убедитесь, что проблема именно в сетевой карте. Если диагностика, описанная в пункте 1, не выявила проблем с адаптером, возможно, дело в провайдере или техническом сбое на линии. Регулярно обновляйте драйверы и бережно храните диск от материнской платы – это поможет вам быстро решить проблемы с сетевой картой. Внешние карты можно проверить на других компьютерах для выявления причины неполадки.

Если диапазон внешних IP-адресов около 10 тысяч единиц или меньше, nmap прекрасно справляется со своей работой в случае со всеми вышеперечисленными нуждами. Однако в больших компаниях, владеющих сотнями тысяч IP-адресов, задача определения «живых» хостов за разумное время (например, в течение нескольких часов) усложняется.

Часто при выполнении пентестов клиент просит меня просканировать внешнюю сеть (надеюсь, что ваши клиенты хорошо осведомлены о рисках, и помимо сканирования внешней сети дадут вам доступ во внутреннюю сеть, но эта тема отдельной статьи). В случае с небольшими организациями я в основном использую nmap на всех этапах сканирования. Когда речь заходит о больших сетях, попробуем вначале разделить процедуру сканирования на отдельные этапы:

1. Общее сканирование сети: поиск адресов IPv4, которые имеют рабочие службы (поиск «живых» хостов).
2. Сканирование портов: поиск открытых TCP и UDP портов на целевых системах.
3. Определение версии: определение версии служб и протоколов, использующих открытые TCP и UDP порты.

Если диапазон внешних IP-адресов около 10 тысяч единиц или меньше, nmap прекрасно справляется со своей работой в случае со всеми вышеперечисленными нуждами. Однако в больших компаниях, владеющих сотнями тысяч IP-адресов, задача определения «живых» хостов за разумное время (например, в течение нескольких часов) усложняется. По умолчанию nmap отсылает несколько пробных запросов. В случае неудачи хост помечается как «неживой», и последующие запросы не отсылаются. Мы можем не делать общее сканирование сети при помощи опции –Pn, однако затем nmap начнет проверять все указанные порты для каждого IPv4-адреса. Поскольку на большинстве внешних IPv4-адресов работающие службы отсутствуют, проверка большой сети может занять недели, месяцы или даже годы. Таким образом, наша задача - найти эффективный способ поиска IP-адресов с работающими службами. Далее найденный список уже будет детально проверяться на предмет конкретных портов и версий протоколов.

У nmap возникают сложности с большим диапазоном адресов, поскольку эта утилита работает по принципу синхронного сканнера, отслеживает запросы на соединение и ожидает ответа. Если на TCP-запрос на соединение (SYN) не приходит ответа, время ожидания истекает, и nmap присваивает службе статус filtered (находится под фильтром). Nmap параллельно запускает несколько пробных запросов, однако службы со статусом filtered (и неактивные IP-адреса) сильно замедляют общий процесс.

Помимо утилит, работающих с использованием синхронизации, одной из которых является nmap, существует несколько асинхронных сканеров, которые не отслеживают соединения: scanrand , ZMap и мой любимый masscan .
Я предпочитаю пользоваться masscan по нескольким причинам. Первая, и самая главная причина заключается в том, что синтаксис masscan во многом схож с nmap. Во-вторых, masscan является одним из самых быстрых даже среди асинхронных сканеров. При наличии правильных сетевых интерфейсов и драйверов эффективность этого сканера ограничивается шириной вашего канала. При использовании двух 10 гигабитных Ethernet-адаптеров, выпускаемых Intel, можно просканировать весь диапазон IPv4-адресов за шесть минут, когда ежесекундно будут передаваться 10 миллионов пакетов.

Вначале рассмотрим базовый синтаксис masscan в применении к сканированию TCP-портов в большом диапазоне сети (например, 16 миллионов IPv4-адресов, используемых Apple).

$ sudo masscan 17.0.0.0/8 -p0-1023

Скорость сканирования

По умолчанию masscan будет отсылать 100 пакетов в секунду. В каждом пакете 18 байт отводится под Ethernet-заголовок, 20 байт под TCP-заголовок и более 20 байт под IPv4-заголовок. В итоге отсылается 5800 байт (или примерно 46 килобайт) в секунду. Поскольку masscan при сканировании портов и хостов распределяет ресурсы равномерно, соответственно, полоса также будет распределяться равномерно. На широкой полосе может случиться непреднамеренная DDOS атака в случае во время сканирования небольшой сети, но при 1-10 мегабит в секунду (или 20 тысячах пакетов в секунду, параметр --rate 20000) проблем возникнуть не должно. На виртуальных машинах скорость может легко доходить до 200 тысяч пакетов в секунду (--rate 200000), что эквивалентно 93 мегабитам в секунду исходящего трафика. Однако следует согласовать с клиентом необходимость использования столь высоких скоростей.

Сканирование сети

Как же мы можем определить, что на определенном IPv4-адресе есть рабочие TCP-службы? Самый простой способ – просканировать 65536 портов (от 0 до 65535). Однако в больших сетях этот метод будет отнимать слишком много времени даже на больших скоростях. Я обычно выбираю 100 или 1000 наиболее популярных портов по версии nmap. Если IP-адрес отвечает на любой SYN-пакет (в ответ посылается либо RST, что свидетельствует о закрытом порте/соединении, или SYN-ACK, что свидетельствует об открытом порте/соединении), то мы сохраняем этот IP-адрес в отдельный список для последующего анализа при помощи nmap или, например, сканера уязвимостей Nessus.
Воспользуемся небольшим трюком для получения списка наиболее популярных портов. Мы будем сканировать нашу собственную систему и выводить на экран перечень портов в XML-формате. В XML-формате отображаются параметры, используемые при сканировании, и, что более важно, выводится перечень портов в удобочитаемой форме. Я выбрал первые 100 портов, но вы можете легко поменять это значение (например, вывести первые 10 или 1000 портов).

$ nmap localhost --top-ports 100 -oX - | grep services

Далее используем полученный список как значения параметра –p при сканировании целевого диапазона. В качестве примера все также используем сеть компании Apple. Скорость 100000 пакетов в секунду эквивалентна трафику 32 мегабит в секунду.

$ sudo masscan 17.0.0.0/8 -oG apple-masscan.gnmap -p 7,9,13,21-23,25-26,37,53,79-81,88,106,110-111,113,119,135,139,143-144,179,199,389,427,443-445,465,513-515,543-544,548,554,587,631,646,873,990,993,995,1025-1029,1110,1433,1720,1723,1755,1900,2000-2001,2049,2121,2717,3000,3128,3306,3389,3986,4899,5000,5009,5051,5060,5101,5190,5357,5432,5631,5666,5800,5900,6000-6001,6646,7070,8000,8008-8009,8080-8081,8443,8888,9100,9999-10000,32768,49152-49157 --rate 100000

Обратите внимание, что masscan поддерживает ту же самую опцию -oG filename.gnmap, что и nmap. Далее мы будем обрабатывать полученный список (в формате greppable) для анализа хостов с открытыми портами. Сканирование 16 миллионов адресов по 100 портам займет примерно 5 часов. На мой взгляд, это время вполне разумно. Рассмотрим первые несколько строк полученного файла:

# Masscan 1.0.3 scan initiated Thu Jul 20 22:24:40 2017
# Ports scanned: TCP(1;7-7,) UDP(0;) SCTP(0;) PROTOCOLS(0;)
Host: 17.179.241.56 () Ports: 443/open/tcp////
Host: 17.253.84.72 () Ports: 179/open/tcp////
Host: 17.188.161.148 () Ports: 8081/open/tcp////
Host: 17.188.161.212 () Ports: 8081/open/tcp////

Поскольку нам нужны только IP-адреса, мы будем использовать утилиту egrep для поиска строк, начинающихся с «Host: » и далее обрабатывать полученные данные при помощи утилиты cut для выемки второго поля. Мы также будем сортировать список при помощи утилиты sort и удалять дубликаты при помощи uniq.

$ egrep "^Host: " apple-masscan.gnmap | cut -d" " -f2 | sort | uniq > apple-alive

Таким образом, наш список стал значительно меньше, и далее мы можем применить nmap для более детального анализа:

# nmap -PN -n -A -iL apple-alive -oA apple-nmap-advanced-scan

Теперь, на базе файла, сгенерированного masscan, сканер nmap сможет выполнить свою работу намного быстрее.

Напишите в комментариях, помог ли вам мой метод в работе. В целом мне нравится nmap, но иногда ресурсоемкие задачи лучше выполнять более специализированными утилитами.
Спасибо за внимание.

Бесплатный антивирусный сканер ESET Online Scanner предназначен проверки компьютера на вирусы онлайн. Антивирусная программа производит разовую проверку на вирусы для поиска и нейтрализации вредоносного и потенциально нежелательного программного обеспечения.

ESET Online Scanner - что это за программа? ESET Online Scanner - онлайн сканер вирусов для проверки компьютера на вирусы и нейтрализация обнаруженных угроз. Для работы приложения необходимо постоянное подключение к интернету, так как проверка компьютера производится с помощью антивирусных баз, расположенных в «облаке», на удаленном сервере ESET.

Приложение не предназначено для постоянной защиты компьютера от вредоносного ПО. Антивирусный сканер ESET Online Scanner служит для разовой проверки компьютера. При использовании программы ESET Online Scanner не возникает конфликтов с установленным на компьютере антивирусом.

Принцип использования сканера следующий: запуск утилиты, разовая проверка и нейтрализация угроз, удаление утилиты с компьютера, для следующей проверки понадобится скачать свежую версию антивирусной утилиты.

Основные возможности ESET Online Scanner:

• Эффективное обнаружение всех типов угроз
• Удаление вредоносных программ
• Проверка без установки на компьютер
• Проверка всего компьютера или проверка отдельной области

Бесплатная программа ESET Online Scanner работает на русском языке. ESET Online Scanner можно скачать с официального сайта производителя, известного разработчика антивирусного ПО, словацкой компании ESET Software.

Программа ESET Online Scanner не требует установки на компьютер, приложение работает в 32-и 64-битных версиях операционной системы Windows. Просто запустите скачанный файл, после проверки этот файл можно удалить.

Сразу после запуска Есет Онлайн Сканер, в окне «Условия использования» необходимо принять условия лицензионного соглашения, нажмите на кнопку «Я принимаю».

Настройки ESET Online Scanner

В окне «Параметры сканирования компьютера» нужно выбрать один из вариантов проверки компьютера:

• Включить обнаружение потенциально нежелательных приложений
• Отключить обнаружение потенциально нежелательных приложений

Если вы включите обнаружение потенциально нежелательных приложений, с точки зрения ESET Online Scanner, то программа при проверке будет находить такие приложения. При выборе этого варианта, пройдет более тщательная проверка компьютера.

Имейте в виду, что потенциально нежелательные приложения не являются вредоносными. Это могут быть нужные вам программы. По мнению антивирусной утилиты, потенциально нежелательные приложения могут представлять потенциальную опасность для вашего компьютера.

В случае отключения обнаружения потенциально опасных приложений, при проверке компьютера, ESET Online Scanner будет находить только вредоносное программное обеспечение.

Для настройки параметров работы программы, нажмите на «Дополнительно».

Здесь вы можете включить или отключить отдельные настройки параметров приложения, выбрать объекты для сканирования, самостоятельно настроить прокси-сервер. По умолчанию выбраны оптимальные настройки. Например, лучше предварительно ознакомится с найденными угрозами для принятия решения самостоятельно, чем очищать угрозы автоматически полагаясь на мнение программы.

В настройке «Текущие объекты сканирования» предлагается сделать выбор объектов, для проверки антивирусной утилитой. Нажмите на кнопку «Изменить…» для выбора объектов сканирования.

В окне «Выбор объектов сканирования» можно выбрать необходимый вариант для сканирования:

• Съемные носители - проверка подключенных к компьютеру съемных носителей
• Локальные диски - проверка локальных дисков
• Сетевые диски - проверка сетевых дисков
• Не выбрано

По умолчанию, в качестве объекта сканирования в программе ESET Online Scanner включена проверка следующих объектов: оперативная память, загрузочный сектор, все подключенные к компьютеру локальные диски.

Здесь вы можете выбрать для проверки только некоторые диски, или конкретные папки или файлы. Для этого снимите ненужные флажки напротив объектов сканирования. Далее выберите файлы и папки, находящиеся на конкретном диске. После применения изменений нажмите на кнопку «ОК».

Если на проверяемом компьютере установлен антивирус, то Eset Online Scanner обнаружит его. В окне параметров сканирования появится сообщение об этом. Нажмите на ссылку «Показать список» для получения полной информации.

В данном случае, ESET Online Scanner обнаружил на моем компьютере антивирусное ПО: Kaspersky Internet Security.

После выбора настроек, нажмите на кнопку «Сканировать» для запуска проверки компьютера на вирусы.

Проверка на вирусы в ESET Online Scanner

Вначале проходит инициализация, в это время производится загрузка базы данных сигнатур вирусов и других необходимых компонентов. Далее запустится процесс сканирования компьютера на вирусы, который займет некоторое время. Проверку на вирусы в любое время можно остановить, после нажатия на кнопку «Остановить».

В окне программы вы увидите предложение о загрузке платного антивируса ESET NOD32 Smart Security. Если данное предложение не актуально, не обращайте на это внимание.

После завершения проверки, если на компьютере были обнаружены угрозы, откроется окно, в котором вы увидите найденное вредоносное ПО.

При необходимости, можно скопировать информацию об угрозах в буфер обмена, или сохранить на своем компьютере в текстовом файле в формате «TXT».

В моем случае, ESET Online Scanner обнаружил троянские программы в архиве, хранящемся на Goole Диске. Это оказались файлы тем WordPress, которые я когда-то пробовал на тестовом сайте. В свое время я сохранил папку сайта в Goole Диске, поэтому эти файлы до сих пор сохранились в облачном хранилище. В облачном хранилище OneDrive антивирусный сканер обнаружил угрозу в каком-то кейгене, который находился в обучающем курсе. Кстати, антивирус Касперского и другие антивирусные сканеры считают эти файлы безопасными, поэтому, возможно, что это ложная тревога.

В зависимости от результатов проверки, вы можете не принимать никаких действий, тогда все найденные файлы сохранятся на вашем компьютере, выбрать все или только некоторые файлы для очистки файлов с компьютера. Файлы будут помещены в карантин или удалены с компьютера.

В случае выбора «Не очищать» откроется окно с информацией о результатах проверки. В этом окне можно выбрать пункт «Удалить данные приложения при закрытии» для удаления вирусных данных.

Поставьте галки напротив обнаруженных объектов, а затем нажмите на кнопку «Очистить выбранное» (если выбраны только некоторые объекты), или на кнопку «Очистить все» (если выбраны все объекты).

В следующем окне отобразится информация о результатах предыдущего действия пользователя с обнаруженными файлами. В «Управлении карантином» можно сделать выбор для удаления обнаруженных вирусных угроз:

• Удалить данные приложения при закрытии - файлы будут удалены при закрытии антивирусной программы
• Удалить файлы из карантина - будут удалены файлы из карантина

В карантине (изолированной, защищенной области на компьютере) находятся файлы, обнаруженные в результате проверки в программе ESET Online Scanner. Сначала выберите файлы, потом нажмите на кнопку «Назад», а затем выберите действие: удалить при закрытии программы, или удалить файлы из карантина.

Если пользователь не выберет вариант для удаления файла, файл сохранится в карантине.

В случае необходимости, файл, помещенный в карантин, можно восстановить на компьютере. Для этого, выберите файл в карантине, а затем нажмите на «Восстановить».

После завершения проверки выйдите из программы, а затем удалите файл антивирусного сканера с компьютера. Для запуска новой проверки, загрузите на свой компьютер новую версию приложения ESET Online Scanner.

Заключение

ESET Online Scanner - бесплатный антивирусный онлайн сканер для обнаружения и удаления с компьютера вредоносного программного обеспечения. Программа работает без установки на компьютер, сканер проводит проверку всего компьютера или отдельной области, в приложении можно проверить отдельный файл или папку.