Компьютерные вирусы

аланса  между
скоростью и качеством можно добиться, указав  ключу  уровень  эвристического
анализа: 0 - минимальный, 1 - оптимальный,  2  -  максимальный;  при   этом,
естественно,  скорость уменьшается пропорционально  увеличению  качества.  К
тому же Dr.Web позволяет тестировать файлы, вакцинированные  CPAV,  а  также
упакованные LZEXE, PKLITE, DIET. Для этого  следует  указать  ключ  /U  (при
этом распаковка файлов будет произведена  на  текущем   устройстве)  или  /U
диск:  (где   диск:   -   устройство,   на   котором   будет   производиться
распаковка), если дискета, с которой запущен Doctor Web защищена от  записи.
Многие программы упакованы  таким  способом, хотя пользователь  может  и  не
подозревать об этом. Если  ключ  /U  не  установлен,  то  Doctor  Web  может
пропустить  вирус,  забравшийся в запакованную программу.
     Важной  функцией  является  контроль  заражения   тестируемых    файлов
резидентным вирусом (ключ /V). При сканировании  памяти   нет  стопроцентной
гарантии, что "Лечебная паутина" обнаружит  все   вирусы,  находящиеся  там.
Так  вот,  при  задании  функции  /V   Dr.Web   пытается   воспрепятствовать
оставшимся резидентным вирусам, заразить тестируемые файлы.
     Тестирование винчестера Dr.Web-ом занимает много  времени,  поэтому  не
каждый  пользователь  может себе  позволить  тратить  столько   времени   на
ежедневную   проверку  всего  жесткого  диска.  Таким  пользователям   можно
посоветовать  более тщательно (с опцией  /S2)  проверять  принесенные  извне
дискеты. Если информация на дискете находится в  архиве   (а   в   последнее
время программы и данные переносятся с машины  на  машину  только   в  таком
виде;  даже   фирмы-производители    программного    обеспечения,   например
Borland, пакуют свою  продукцию),   следует   распаковать  его  в  отдельный
каталог на жестком диске и  сразу  же,  не   откладывая,  запустить  Dr.Web,
задав ему в качестве параметра  вместо  имени  диска  полный  путь  к  этому
подкаталогу. И все же нужно хотя  бы раз в  две  недели  производить  полную
проверку  "винчестера"  на    вирусы   с   заданием   максимального   уровня
эвристического анализа.
     При начальном  тестировании не стоит разрешать программе лечить  файлы,
в  которых  она   обнаружит   вирус,   так   как   нельзя   исключить,   что
последовательность  байт,  принятая   в   антивирусе   за    шаблон    может
встретиться  в  здоровой программе. Если по завершении  тестирования  Dr.Web
выдаст  сообщения о том, что нашел вирусы, нужно запустить его с  опцией  /P
(если эта опция не была указана) для того,  чтобы   посмотреть,  какой  файл
заражен. После этого нужно скопировать файл на дискету  или  на  электронный
диск и попытаться удалить, указав "Лечебной паутине" ключ /F.


                                    ADINF

                          (Advanced Diskinfoscope)

     ADinf относится к классу программ-ревизоров.  Антивирус  имеет  высокую
скорость работы, способен с успехом  противостоять  вирусам,  находящимся  в
памяти. Он позволяет контролировать диск,  читая его по секторам через  BIOS
и не используя системные  прерывания DOS, которые может перехватить вирус.
     Для лечения заражённых файлов применяется  модуль  ADinf  Cure  Module,
не входящий в  пакет  ADinf  и   поставляющийся   отдельно.  Принцип  работы
модуля -  сохранение  небольшой  базы  данных,   описывающей  контролируемые
файлы.  Работая  совместно,  эти  программы позволяют обнаружить  и  удалить
около 97% файловых вирусов и  100%  вирусов   в   загрузочном   секторе.   К
примеру,  нашумевший  вирус SatanBug был легко обнаружен,  и  заражённые  им
файлы  автоматически восстановлены. Причем, даже  те  пользователи,  которые
приобрели ADinf и ADinf Cure Module за  несколько   месяцев   до   появления
этого вируса, смогли без труда от него  избавиться.
     В отличие от  других  антивирусов  Advansed  Diskinfoscope  не  требует
загрузки  с  эталонной,  защищённой  от  записи  дискеты.  При  загрузке   с
винчестера надежность защиты не уменьшается.
     ADinf  имеет  хорошо  выполненный  дружественный  интерфейс,    который
реализован в   графическом  режиме.  Программа  работает  непосредственно  с
видеопамятью,   минуя  BIOS,  при  этом   поддерживаются   все   графические
адаптеры.  Наличие  большого  количества  ключей   позволяет    пользователю
создать  максимально  удобную   для   него   конфигурацию   системы.   Можно
установить,   что   именно   нужно   контролировать:   файлы   с   заданными
расширениями, загрузочные сектора, наличие сбойных  кластеров,  новые  файлы
на наличие Stealth-вирусов, файлы из списка неизменяемых и  т.д.  По  своему
желанию пользователь  может  запретить  проверять  некоторые  каталоги  (это
нужно, если каталоги  являются  рабочими  и   в  них  всё  время  происходят
изменения).  Имеется  возможность  изменять способ доступа  к  диску  (BIOS,
Int13h или Int25h/26h), редактировать список расширений проверяемых  файлов,
а  также   назначить  каждому  расширению  собственный  вьюер,  с    помощью
которого  будут просматриваться  файлы  с  этим  расширением.  В   традициях
современного программного обеспечения реализована  работа  с  мышью.  Как  и
вся  продукция  фирмы  "ДиалогНаука",    ADinf    поддерживает   программно-
аппаратный комплекс Sheriff.
     При инсталляции ADinf в систему   имеется   возможность   изменить  имя
основного файла ADINF.EXE и  имя  таблиц,   при   этом   пользователь  может
задать любое имя. Это очень полезная функция, так   как  в  последнее  время
появилось множество   вирусов,   "охотящихся"   за  антивирусами  (например,
есть  вирус,  который  изменяет  программу  Aidstest  так,  что  она  вместо
заставки фирмы "ДиалогНаука" пишет: "Лозинский - пень"), в том  числе  и  за
ADinf.
     Полезной функцией является возможность  работы  с  DOS,  не  выходя  из
программы. Это бывает полезно, когда  нужно   запустить   внешний  антивирус
для лечения файла, если  у  пользователя  нет   лечащего  блока  ADinf  Cure
Module.
     Ещё  одна  интересная  функция  -  запрещение  работы  с  системой  при
обнаружении  изменений  на  диске.  Эта   функция    полезна,    когда    за
терминалами работают пользователи, не имеющие ещё большого  опыта в  общении
с компьютером. Такие пользователи, по  незнанию  или  по  халатности,  могут
проигнорировать сообщение ADinf  и  продолжить  работу,  как  ни  в  чём  не
бывало, что может привести к  тяжёлым  последствиям.
     Если же установлен  ключ  -Stop  в  строке  вызова  Adinf AUTOEXEC.BAT,
то при  обнаружении   изменений   на   диске   программа  потребует  позвать
системного   программиста,   обслуживающего   данный   терминал,   а    если
пользователь нажмет ESC  или   ENTER,   то   система  перезагрузится  и  все
повторится снова.
     Принцип работы ADinf основан на  сохранении  в  таблице  копии  MASTER-
BOOT и BOOT секторов, список   номеров   сбойных   кластеров,  схему  дерева
каталогов  и  информацию  обо  всех  контролируемых  файлах.   Кроме   того,
программа запоминает и  при  каждом  запуске   проверяет,  не  изменился  ли
доступный  DOS  объем  оперативной  памяти   (что   бывает   при   заражении
большинством загрузочных  вирусов),  количество  установленных  винчестеров,
таблицы параметров винчестера в области переменных BIOS.
     При первом  запуске  программа  запоминает  объем  оперативной  памяти,
находит и запоминает адрес обработчика прерывания Int 13h  в  BIOS,  который
будет использоваться при всех  последующих  проверках, и строит таблицы  для
проверяемых дисков. При этом проверяется,  показывал  ли  вектор  прерывания
13h в BIOS перед загрузкой DOS.
     При последующих запусках  ADinf  проверяет  объем  оперативной  памяти,
доступной  DOS,  переменные  BIOS,  загрузочные   сектора,   список  номеров
сбойных  кластеров  (так  как  некоторые  вирусы,   записавшись  в  кластер,
помечают его, как сбойный, чтобы  их  не  затёрли другие данные, а также  не
обнаружили  примитивные   антивирусы).   К  тому  же  антивирус  ищет  вновь
созданные и уничтоженные  подкаталоги,  новые,  удаленные,  переименованные,
перемещённые  и   изменившиеся  файлы   (проверяется   изменение   длины   и
контрольной суммы).  Если ADinf обнаружит, что,  изменился  файл  из  списка
неизменяемых,  либо  в  файле  произошли  изменения  без  изменения  даты  и
времени, а также наличие  у  файла   странной   даты   (число   больше   31,
месяц больше 12 или год больше текущего)  или  времени  (минут  больше   59,
часов больше 23 или секунд больше 59), то он выдаст  предупреждение  о  том,
что возможно заражение вирусом.
     Если обнаружены изменения BOOT-секторов,  то  можно  в  режиме  диалога
сравнить системные таблицы, которые были до и после изменения, и по  желанию
восстановить  прежний  сектор.  После   восстановления   измененный   сектор
сохраняется в файле на  диске   для   последующего  анализа.  Новые  сбойные
кластеры (вернее информация о  них в  FAT)  могут  появиться  после  запуска
какой-либо утилиты,  лечащей диск (например, NDD)  или  благодаря  действиям
вируса.  Если  Adinf выдал сообщение, а  пользователь  не  запускал  никаких
подобных  утилит,  то,  скорее  всего  в  компьютер  забрался   вирус.   При
получении такого сообщения следует продолжить проверку,  внимательно   следя
за всеми сообщениями об изменениях файлов и  загрузочных  секторов.  Если  в
системе действительно вирус, то такие  сообщения  не   заставят  себя  долго
ждать (ведь если все тело вируса будет находиться в "сбойном" кластере,  ему
никогда не передастся управление).
     После  проверки  ADinf  выдаёт  сводную    таблицу,    сообщающую    об
изменениях  на  диске.  По   таблице   можно    перемещаться   стрелками   и
просматривать подробную информацию, нажав ENTER   на   интересующем  пункте.
Существует во

1 2 3 4 5 След.

скачать работу

Отправка СМС бесплатно