Описание AVP
ение выдается при обработке архивного файла. Где “ARHIV_NAME”
-название программы архиватора, с помощью которой был создан архив.
: UNKNOWN_NAME неизвестный формат.
Это сообщение выдается в тех случаях, если Extracting или Unpacking
Engine не в состоянии распаковать файл. Такая ситуация встречается при
сканировании файлов, упакованных новыми версиями паковщиков,
запаролированных или испорченных архивов.
В окне “Объект - Результат” Вы можете воспользоваться функцией поиска
необходимого сообщения. Для этого необходимо вызвать окно поиска, нажав
комбинацию клавиш + и в строку ввода ввести сообщение, которое
необходимо найти. Для продолжения поиска необходимо нажать клавишу или
воспользоваться кнопкой “Найти”. Если Вы хотите при поиске различать
прописные и строчные буквы - поставьте флажок “Учитывать регистр”. Для
выхода из окна поиска нажмите клавишу или кнопку “Отмена”.
Сообщения Code Analyzer
Сообщения выдаются в формате:
: подозрение на вирус типа TYPE - подозрение на вирус, где "TYPE"
является одной из строк:
Com - файл выглядит как зараженный неизвестным вирусом, поражающим COM
файлы;
Exe - файл выглядит как зараженный неизвестным вирусом, поражающим EXE
файлы;
ComExe - файл выглядит как зараженный неизвестным вирусом, поражающим
файлы формата COM и EXE;
ComTSR, ExeTSR, ComExeTSR - файл выглядит как зараженный неизвестным
резидентным вирусом, поражающим файлы формата COM, EXE, или COM и EXE
файлы;
Boot - файл/сектор выглядит как зараженный неизвестным boot-вирусом или
как инсталлятор boot-вируса;
Trojan - файл выглядит как троянская программа;
Анализатор кода (Code Analyzer)
Анализатор кода (эвристический сканер) проверяет коды файлов и секторов
по разным ветвям алгоритма сканируемой программы на наличие вирусоподобных
инструкций и выдает сообщение, если обнаружена комбинация команд, таких как
открытие или запись в файл, перехват векторов прерываний и т.д.
Конечно, этот алгоритм может давать ложные срабатывания, как и любой из
подобных эвристических алгоритмов, но он был протестирован на очень большом
количестве файлов, и при этом не было получено ни одного действительно
ложного срабатывания. Если Вы обнаружите ложные срабатывания на
неинфицированных файлах, вышлите в антивирусный отдел ЗАО “ЛАБОРАТОРИЯ
КАСПЕРСКОГО” экземпляры этих файлов для анализа.
При сканировании кода Code Analyzer проверяет много ветвей алгоритма
программы (включая несколько подуровней). Вследствие этого AVP работает
примерно на 20% медленнее при включенном Code Analyzer, чем при
выключенном. Но данный механизм определяет около 80% вирусов (включая
многие шифрованные) из нашей коллекции, и мы рассчитываем, что новые
неизвестные вирусы будут определяться с такой же вероятностью.
Механизм распаковки исполняемых модулей (Unpacking Engine)
В настоящее время достаточно широко распространены утилиты упаковки
исполняемых файлов. Они записывают упакованный файл на диск со специальным
распаковщиком. При исполнении такого файла этот распаковщик распаковывает
исполняемую программу в оперативную память и запускает ее.
Пораженные вирусом файлы могут быть компрессированы такими паковщиками
так же, как и неинфицированные. При сканировании обычными антивирусными
программами пораженные таким образом файлы будут определяться как
неинфицированные, так как тело вируса упаковано вместе с кодом программы.
Unpacking Engine распаковывает файлы, созданные наиболее популярными
утилитами упаковки: DIET, PKLITE, LZEXE и EXEPACK различных версий, во
временный файл и передает его на повторную проверку. Если внутри
упакованного файла обнаружен известный вирус, то, возможно, его удаление.
При этом исходный файл замещается распакованным и вылеченным. Механизм
распаковки корректно работает и с многократно упакованными файлами.
Модуль распаковки работает также с некоторыми версиями иммунизаторов
(программы, защищающие выполняемые файлы от заражения путем присоединения к
ним контролирующих блоков) файлов (CPAV и F-XLOCK) и шифрующих программ
(CryptCOM).
Механизм распаковки из архивов (Extracting Engine)
Проблема поиска вирусов в архивированных файлах (ZIP, ARJ, LHA и RAR)
становится в данный момент, пожалуй, одной из самых насущных.
Инфицированный файл может затаиться на несколько месяцев и даже лет, и
быстро распространиться при невнимательном обращении с такими архивами.
Особую опасность представляют архивы, хранящиеся на BBS.
С такой ситуацией успешно справляется механизм распаковки из архивов
Extracting Engine. При сканировании архивов Extracting Engine распаковывает
файлы из архива по заданной маске во временный файл и передает его для
проверки основному модулю. После проверки временный файл уничтожается.
ЗАМЕЧАНИЯ!
1. AVP не удаляет вирусы из архивов, а только детектирует их.
2. Extracting Engine не распаковывает архивы, защищенные паролем.
AVP детектирует зараженный файл, даже если он зашифрован утилитой
CryptCOM, затем упакован PKLITE и записан в архив программой PKZIP.
Как уберечься от компьютерных вирусов
Одним из основных методов борьбы с вирусами является, как и в медицине,
своевременная профилактика. Компьютерная профилактика состоит из небольшого
количества правил, соблюдение которых значительно снижает вероятность
заражения вирусом и утери каких-либо данных.
· Обязательно делайте регулярное резервное копирование.
· Покупайте дистрибутивные копии программного обеспечения у официальных
продавцов.
· Создайте системную дискету. Запишите на нее антивирусные программы.
Защитите дискету от записи.
· Периодически сохраняйте файлы, с которыми ведется работа, на внешний
носитель, например, на дискеты.
· Проверяйте перед использованием все дискеты. Не запускайте
непроверенные файлы, в том числе полученные по компьютерным сетям.
· Ограничьте круг лиц, допущенных к работе на конкретном компьютере.
· Периодически проверяйте компьютер на наличие вирусов. При этом
пользуйтесь свежими версиями анти
| | скачать работу |
Описание AVP |