Компьютерные вирусы
аланса между
скоростью и качеством можно добиться, указав ключу уровень эвристического
анализа: 0 - минимальный, 1 - оптимальный, 2 - максимальный; при этом,
естественно, скорость уменьшается пропорционально увеличению качества. К
тому же Dr.Web позволяет тестировать файлы, вакцинированные CPAV, а также
упакованные LZEXE, PKLITE, DIET. Для этого следует указать ключ /U (при
этом распаковка файлов будет произведена на текущем устройстве) или /U
диск: (где диск: - устройство, на котором будет производиться
распаковка), если дискета, с которой запущен Doctor Web защищена от записи.
Многие программы упакованы таким способом, хотя пользователь может и не
подозревать об этом. Если ключ /U не установлен, то Doctor Web может
пропустить вирус, забравшийся в запакованную программу.
Важной функцией является контроль заражения тестируемых файлов
резидентным вирусом (ключ /V). При сканировании памяти нет стопроцентной
гарантии, что "Лечебная паутина" обнаружит все вирусы, находящиеся там.
Так вот, при задании функции /V Dr.Web пытается воспрепятствовать
оставшимся резидентным вирусам, заразить тестируемые файлы.
Тестирование винчестера Dr.Web-ом занимает много времени, поэтому не
каждый пользователь может себе позволить тратить столько времени на
ежедневную проверку всего жесткого диска. Таким пользователям можно
посоветовать более тщательно (с опцией /S2) проверять принесенные извне
дискеты. Если информация на дискете находится в архиве (а в последнее
время программы и данные переносятся с машины на машину только в таком
виде; даже фирмы-производители программного обеспечения, например
Borland, пакуют свою продукцию), следует распаковать его в отдельный
каталог на жестком диске и сразу же, не откладывая, запустить Dr.Web,
задав ему в качестве параметра вместо имени диска полный путь к этому
подкаталогу. И все же нужно хотя бы раз в две недели производить полную
проверку "винчестера" на вирусы с заданием максимального уровня
эвристического анализа.
При начальном тестировании не стоит разрешать программе лечить файлы,
в которых она обнаружит вирус, так как нельзя исключить, что
последовательность байт, принятая в антивирусе за шаблон может
встретиться в здоровой программе. Если по завершении тестирования Dr.Web
выдаст сообщения о том, что нашел вирусы, нужно запустить его с опцией /P
(если эта опция не была указана) для того, чтобы посмотреть, какой файл
заражен. После этого нужно скопировать файл на дискету или на электронный
диск и попытаться удалить, указав "Лечебной паутине" ключ /F.
ADINF
(Advanced Diskinfoscope)
ADinf относится к классу программ-ревизоров. Антивирус имеет высокую
скорость работы, способен с успехом противостоять вирусам, находящимся в
памяти. Он позволяет контролировать диск, читая его по секторам через BIOS
и не используя системные прерывания DOS, которые может перехватить вирус.
Для лечения заражённых файлов применяется модуль ADinf Cure Module,
не входящий в пакет ADinf и поставляющийся отдельно. Принцип работы
модуля - сохранение небольшой базы данных, описывающей контролируемые
файлы. Работая совместно, эти программы позволяют обнаружить и удалить
около 97% файловых вирусов и 100% вирусов в загрузочном секторе. К
примеру, нашумевший вирус SatanBug был легко обнаружен, и заражённые им
файлы автоматически восстановлены. Причем, даже те пользователи, которые
приобрели ADinf и ADinf Cure Module за несколько месяцев до появления
этого вируса, смогли без труда от него избавиться.
В отличие от других антивирусов Advansed Diskinfoscope не требует
загрузки с эталонной, защищённой от записи дискеты. При загрузке с
винчестера надежность защиты не уменьшается.
ADinf имеет хорошо выполненный дружественный интерфейс, который
реализован в графическом режиме. Программа работает непосредственно с
видеопамятью, минуя BIOS, при этом поддерживаются все графические
адаптеры. Наличие большого количества ключей позволяет пользователю
создать максимально удобную для него конфигурацию системы. Можно
установить, что именно нужно контролировать: файлы с заданными
расширениями, загрузочные сектора, наличие сбойных кластеров, новые файлы
на наличие Stealth-вирусов, файлы из списка неизменяемых и т.д. По своему
желанию пользователь может запретить проверять некоторые каталоги (это
нужно, если каталоги являются рабочими и в них всё время происходят
изменения). Имеется возможность изменять способ доступа к диску (BIOS,
Int13h или Int25h/26h), редактировать список расширений проверяемых файлов,
а также назначить каждому расширению собственный вьюер, с помощью
которого будут просматриваться файлы с этим расширением. В традициях
современного программного обеспечения реализована работа с мышью. Как и
вся продукция фирмы "ДиалогНаука", ADinf поддерживает программно-
аппаратный комплекс Sheriff.
При инсталляции ADinf в систему имеется возможность изменить имя
основного файла ADINF.EXE и имя таблиц, при этом пользователь может
задать любое имя. Это очень полезная функция, так как в последнее время
появилось множество вирусов, "охотящихся" за антивирусами (например,
есть вирус, который изменяет программу Aidstest так, что она вместо
заставки фирмы "ДиалогНаука" пишет: "Лозинский - пень"), в том числе и за
ADinf.
Полезной функцией является возможность работы с DOS, не выходя из
программы. Это бывает полезно, когда нужно запустить внешний антивирус
для лечения файла, если у пользователя нет лечащего блока ADinf Cure
Module.
Ещё одна интересная функция - запрещение работы с системой при
обнаружении изменений на диске. Эта функция полезна, когда за
терминалами работают пользователи, не имеющие ещё большого опыта в общении
с компьютером. Такие пользователи, по незнанию или по халатности, могут
проигнорировать сообщение ADinf и продолжить работу, как ни в чём не
бывало, что может привести к тяжёлым последствиям.
Если же установлен ключ -Stop в строке вызова Adinf AUTOEXEC.BAT,
то при обнаружении изменений на диске программа потребует позвать
системного программиста, обслуживающего данный терминал, а если
пользователь нажмет ESC или ENTER, то система перезагрузится и все
повторится снова.
Принцип работы ADinf основан на сохранении в таблице копии MASTER-
BOOT и BOOT секторов, список номеров сбойных кластеров, схему дерева
каталогов и информацию обо всех контролируемых файлах. Кроме того,
программа запоминает и при каждом запуске проверяет, не изменился ли
доступный DOS объем оперативной памяти (что бывает при заражении
большинством загрузочных вирусов), количество установленных винчестеров,
таблицы параметров винчестера в области переменных BIOS.
При первом запуске программа запоминает объем оперативной памяти,
находит и запоминает адрес обработчика прерывания Int 13h в BIOS, который
будет использоваться при всех последующих проверках, и строит таблицы для
проверяемых дисков. При этом проверяется, показывал ли вектор прерывания
13h в BIOS перед загрузкой DOS.
При последующих запусках ADinf проверяет объем оперативной памяти,
доступной DOS, переменные BIOS, загрузочные сектора, список номеров
сбойных кластеров (так как некоторые вирусы, записавшись в кластер,
помечают его, как сбойный, чтобы их не затёрли другие данные, а также не
обнаружили примитивные антивирусы). К тому же антивирус ищет вновь
созданные и уничтоженные подкаталоги, новые, удаленные, переименованные,
перемещённые и изменившиеся файлы (проверяется изменение длины и
контрольной суммы). Если ADinf обнаружит, что, изменился файл из списка
неизменяемых, либо в файле произошли изменения без изменения даты и
времени, а также наличие у файла странной даты (число больше 31,
месяц больше 12 или год больше текущего) или времени (минут больше 59,
часов больше 23 или секунд больше 59), то он выдаст предупреждение о том,
что возможно заражение вирусом.
Если обнаружены изменения BOOT-секторов, то можно в режиме диалога
сравнить системные таблицы, которые были до и после изменения, и по желанию
восстановить прежний сектор. После восстановления измененный сектор
сохраняется в файле на диске для последующего анализа. Новые сбойные
кластеры (вернее информация о них в FAT) могут появиться после запуска
какой-либо утилиты, лечащей диск (например, NDD) или благодаря действиям
вируса. Если Adinf выдал сообщение, а пользователь не запускал никаких
подобных утилит, то, скорее всего в компьютер забрался вирус. При
получении такого сообщения следует продолжить проверку, внимательно следя
за всеми сообщениями об изменениях файлов и загрузочных секторов. Если в
системе действительно вирус, то такие сообщения не заставят себя долго
ждать (ведь если все тело вируса будет находиться в "сбойном" кластере, ему
никогда не передастся управление).
После проверки ADinf выдаёт сводную таблицу, сообщающую об
изменениях на диске. По таблице можно перемещаться стрелками и
просматривать подробную информацию, нажав ENTER на интересующем пункте.
Существует во
| | скачать работу |
Компьютерные вирусы |