Комп'ютерні віруси

Вступление.

Працюючи із сучасним персональним комп’ютером користувача (і особливо початківця) може чатувати безліч неприємностей: втрата даних, зависання системи, вихід із ладу окремих частин комп’ютера та інші. Однією з причин їхнього них поруч із помилками в програмне забезпечення і невмілими діями самого оператора ПЕОМ може бути проникли до системи комп’ютерні віруси.

Комп’ютерний вірус — це спеціально написана невеличка за величиною програма, яка може «приписувати «себе на інших програмах просто (тобто. «заражати «їх), і навіть виконувати різні небажані дії за комп’ютером. Програма, всередині якої знаходиться вірус, називається «зараженої «. Коли такі програма починає цю роботу, то спочатку управління отримує вірус. Вірус знаходить і «заражає «інші програми, і навіть виконує якісь шкідливі дії (наприклад, псує файли чи таблицю розміщення файлів на диску, «засмічує «оперативну пам’ять тощо.). Для маскування вірусу дії з зараженню інших програм, тож шкодять можуть виконуватися який завжди, а, скажімо, за виконання певних умов. Коли вірус виконає потрібні їй дії, він передає управління тієї програмі, де він перебуває, і її працює як і, звісно ж. Тим самим було зовні робота зараженої програми така ж, як і незараженной. Ці програми подібно біологічним вірусам розмножуються, записуючись в системні області диска чи приписываясь до файлам, і виробляють різні небажані дії, які, найчастіше, мають катастрофічні наслідки. Щоб стати жертвою цього лиха, кожному користувачеві слід добре знати принципи захисту від комп’ютерних вірусів.

З давніх часів відомо, що кожному отрути рано чи пізно можна знайти протиотруту. Таким протиотрута в комп’ютерному світі стали програми, звані антивірусними. Дані програми можна класифікувати за п’ятьма основним групам: фільтри, детектори, ревізори, доктори наук і вакцинаторы.

Антивирусы-фильтры — це резидентные програми, які сповіщають користувача про спробах будь-якої програми записатися на диск, тож якусь-там тим паче відформатувати його, і навіть про інші підозрілих діях (наприклад, про спроби змінити установки CMOS). У цьому виводиться запит про дозвіл або заборону даного дії. Принцип роботи цих програм грунтується на перехоплення відповідних векторів переривань. До переваг програм цього проти программами-детекторами можна віднести універсальність стосовно як до відомим, і невідомим вірусам, тоді як детектори пишуться під конкретні, відомі нині програмісту види. Особливо це актуально зараз, коли безліч вирусов-мутантов, які мають постійного коду. Проте программы-фильтры що неспроможні відстежувати віруси, які звертаються безпосередньо до BIOS, і навіть BOOT-вирусы, активизирующиеся ще перед запуском антивірусу, у початковій стадії завантаження DOS, До вад також можна віднести часту видачу запитів за проведення будь-якої операції: запитання забирають у користувача багато часу діють йому на нерви. При установці деяких антивирусов-фильтров можуть бути конфлікти коїться з іншими резидентными програмами, використовуючи самі переривання, які просто перестають работать.

Найбільшого поширення набула нашій країні отримали программы-детекторы, точніше програми, які б поєднували у собі детектор з лікарем. Найвідоміші представники цього — Aidstest, Doctor Web, MicroSoft AntiVirus далі розглянуті докладніше. Антивирусы-детекторы розраховані на конкретні віруси й засновані на порівнянні послідовності кодів які у тілі вірусу з кодами перевірених програм. Такі програми потрібно регулярно оновлювати, оскільки вони швидко старіють і що неспроможні виявляти нові види вирусов.

Ревізори — програми, які аналізують поточний стан файлів і системних областей диска і порівнюють його з туристичною інформацією, сохранённой до цього часу одному з файлів даних ревізора. У цьому перевіряється стан BOOT-сектора, таблиці FAT, і навіть довжина файлів, їх час створення, атрибути, контрольна сума. Аналізуючи повідомлення программы-ревизора, користувач може вирішити, чим викликане зміни: вірусом чи ні. При видачі що така повідомлень годі було віддаватися паніці, оскільки причиною змін, наприклад, довжини програми то, можливо зовсім і вірус. Так був випадок, коли той початкуючий користувач неабияк перелякався, коли антивірус AVSP видав йому повідомлення щодо змін у файлі CONFIG.SYS. Виявилося, що досі на комп’ютер було здійснено інсталяція менеджера пам’яті QEMM, що пише свій драйвер в CONFIG.SYS.

Прояв наявності вірусу у роботі на ПЭВМ.

Усі дії вірусу можуть виконуватися досить швидко і видачі будь-яких повідомлень, тому користувачеві дуже важко помітити, що у комп’ютері відбувається щось необычное.

Поки за комп’ютером заражене щодо мало програм, наявність то, можливо практично непомітно. Проте після певного часу за комп’ютером починає діятися щось дивне, например:

> деякі програми перестає працювати чи починають працювати неправильно;

> на екран виводяться сторонні повідомлення, символи й т.д.;

> робота за комп’ютером істотно замедляется;

> деякі файли виявляються зіпсованими і т.д.

На той час, зазвичай, вже багато (і навіть більшість) програм є зараженими вірусом, і деякі файли і диски — зіпсованими. Понад те, заражені програми з однієї комп’ютера були перенесені з допомогою дискет чи з локальної мережі інші компьютеры.

Деякі види вірусів поводяться ще більше підступно. Вони спочатку непомітно заражають велика кількість програм чи дисків, і потім від дуже лінкор серйозно пошкоджено, наприклад, формують весь жорсткий диск за комп’ютером. А бувають віруси, які намагаються поводитися, як можна більш непомітно, але потроху та поступово псують дані на жорсткому диску компьютера.

Отже, а то й робити заходів для захисту від вірусу, то наслідки зараження комп’ютера можуть бути дуже серьезными.

Різновиду комп’ютерних вирусов.

Кожна конкретна різновид вірусу може заражати лише одне або двоє типу файлів. Найчастіше зустрічаються віруси, заражающие исполнимые файли. Деякі віруси заражають і файли, і завантажувальні області дисків. Віруси, заражающие драйвери пристроїв, трапляються вкрай рідко, зазвичай такі віруси вміють заражати і исполнимые файлы.

Останнім часом набули поширення віруси нових типів — віруси, мають файлову систему на диску. Ці віруси зазвичай називаються DIR. Такі віруси ховають своє тіло до певний ділянку диска (зазвичай — за останній кластер диска) і позначають їх у таблиці розміщення файлів (FAT) як кінець файла.

Щоб запобігти своє виявлення, деякі віруси застосовують досить хитрі прийоми маскування. Я розповім про перші два їх: «невидимих «і самомодифицирующихся вирусах.

" НЕВИДИМІ «віруси. Багато резидентные віруси (і файлові, і завантажувальні) запобігають своє виявлення тим, що перехоплюють звернення DOS (і тим самим прикладних програм) до заражених файлам і областям диска і видають в вихідному (незараженном) вигляді. Зрозуміло, цей ефект спостерігається лише з зараженому комп’ютері - на «чистому «комп'ютері зміни у файлах і завантажувальних областях диска можна легко обнаружить.

САМОМОДИФИЦИРУЮЩИЕСЯ віруси. Інший спосіб, застосовуваний вірусами у тому, щоб укритися від виявлення, — модифікація свого тіла. Багато віруси зберігають більшу частину тіла в закодованому вигляді, щоб за допомогою дизассемблеров не міг дати раду механізмі його роботи. Самомодифицирующиеся віруси використовують цей приймання і часто змінюють параметри цієї кодування, крім того, змінюють і свій стартову частина, яка служить для раскодировки інших команд вірусу. Отже, у тілі подібного вірусу немає жодної постійної ланцюжка байтів, якими можна було б ідентифікувати вірус. Це, природно, утрудняє перебування таких вірусів программами-детекторами.

Методи захисту від комп’ютерних вирусов.

Хоч би яким ні вірус, користувачеві треба зазначити основні засоби захисту від комп’ютерних вирусов.

Для захисту від вірусів можна использовать:

> спільні кошти захисту, які корисні й як і страховка від фізичного псування дисків, неправильно працюючих програм чи хибних дій пользователя;

> профілактичних заходів, дозволяють зменшити ймовірність зараження вирусом;

> спеціалізовані програми захисту від вирусов.

Загальні засоби захисту інформації корисні як захисту від вірусів. Є дві основні різновиду цих средств:

> копіювання інформації - створення копій файлів і системних областей дисков;

> розмежування доступу запобігає несанкціоноване використання інформації, зокрема, захисту від змін програм, тож даних вірусами, неправильно які працюють програмами та хибними діями пользователей.

Попри те що, що спільні кошти захисту дуже важливі захисту від вірусів, все-таки їх недостатньо. Необхідно врахувати і застосування спеціалізованих програм захисту від вірусів. Ці програми можна розділити сталася на кілька видів: детектори, доктора (фаги), ревізори, доктора-ревизоры, фільтри і вакцини (иммунизаторы).

ПРОГРАММЫ-ДЕТЕКТОРЫ дозволяють виявляти файли, заражені однією з кількох відомих вірусів. Ці програми перевіряють, чи є в файлах на зазначеному користувачем диску специфічна для цього вірусу комбінація байтів. За її виявленні в якомусь файлі на екран виводиться відповідне повідомлення. Багато детектори мають режими лікування чи знищення заражених файлів. Слід сказати, що программы-детекторы можуть виявляти ті віруси, що їй «відомі «. Програма Scan фірми McAfee Associates і Aidstest Д. Н. Лозинского дозволяють виявляти близько 9000 вірусів, а передусім їхній понад двадцять тисяч! Деякі программы-детекторы, наприклад Norton AntiVirus чи AVSP фірми «Диалог-МГУ », можуть налаштовувати налаштувалася на нові типи вірусів, їм необхідні лише вказати комбінації байтів, властиві цим вірусам. Проте він думка неможливо розробити цю програму, яка б виявляти будь-який заздалегідь невідомий вирус.

Отже, речей, що ваша програма не орієнтується детекторами як заражена, годі було, що вона здорова — у ній можуть сидіти який-небудь новий вірус чи злегка модифікована версія старого вірусу, невідомі программам-детекторам.

Багато программы-детекторы (зокрема і Aidstest) не вміють виявляти зараження «невидимими «вірусами, якщо такий вірус активний у пам’яті комп’ютера. Річ у тім, що з читання диска вони використовують функції DOS, що перехоплюються вірусом, який свідчить, що це добре. Щоправда, Aidstest та інші детектори намагаються виявити вірус шляхом перегляду оперативної пам’яті, але проти деяких «хитрих «вірусів це допомагає. Отож надійний діагноз программы-детекторы дають лише за завантаженні DOS з «чистої «, захищеної від записи дискети, у своїй копія программы-детектора повинен бути запущена з цим дискеты.

Деякі детектори (скажімо ADinf фірми «Диалог-Наука ») вміють ловити «невидимі «віруси, навіть коли вони активні. І тому вони читають диск, не використовуючи виклики DOS. Щоправда, його не усім дисководах.

Більшість программ-детекторов мають функцію «доктора », тобто. вони хочуть повернути заражені файли або області диска у тому вихідне стан. Ті файли, які вдалося відновити, зазвичай, робляться непрацездатними чи удаляются.

Більшість программ-докторов вміють «лікувати «тільки від деякого фіксованого набору вірусів, тому вони швидко застарівають. Та деякі програми можуть навчатися як способам виявлення, а й способам лікування нових вірусів. До таких програмам належить AVSP фірми «Диалог-МГУ » .

ПРОГРАММЫ-РЕВИЗОРЫ мають стадії роботи. Спочатку вони запам’ятовують інформацію про стані програм, тож системних областей дисків (завантажувального сектори й сектори із таблицею розбивки жорсткого диска). Передбачається, що цей момент програми розвитку й системні області дисків не заражені. Після цього з допомогою программы-ревизора можна у будь-якій момент порівняти стан програм, тож системних областей дисків з вихідним. Про виявлених невідповідностях повідомляється користувачеві.

Щоб перевірка справжнього стану програм, тож дисків відбувалася за кожної завантаженні ОС, необхідно включити команду запуску программы-ревизора в командний файл AUTOEXEC.BAT. Це дає змоги виявити зараження комп’ютерним вірусом, коли він ще я не встиг завдати великої шкоди. Понад те, той самий программа-ревизор зможе знайти пошкоджені вірусом файлы.

Багато программы-ревизоры є досить «інтелектуальними «- можуть відрізняти зміни у файлах, викликані, наприклад, переходом до нової версії програми, змін, внесених вірусом, і піднімають удаваної тривоги. Річ у тім, що віруси зазвичай змінюють файли дуже специфічним способом мислення й виробляють однакові зміни у різних програмних файлах. Зрозуміло, що у нормальної ситуації такі зміни практично будь-коли зустрічаються, тому программа-ревизор, зафіксувавши факт цих змін, можна з упевненістю повідомити, що їх викликала саме вірусом.

Інші програми часто використовують різні півзаходи — намагаються знайти вірус оперативному пам’яті, вимагають виклики з першого рядки файла AUTOEXEC. BAT, сподіваючись працювати на «чистому «комп'ютері, тощо. На жаль, проти деяких «хитрих «вірусів усе це марно.

Для перевірки того і не чи змінився файл, деякі программы-ревизоры перевіряють довжину файла. Але це перевірка недостатня — деякі віруси не змінюють довжину заражених файлів. Більше надійна перевірка — прочитати весь файл і обчислити його контрольну суму. Змінити файл те щоб його контрольна сума не змінилася, практично неможливо.

Останнім часом з’явилися дуже корисні гібриди ревізорів та докторів конкретних, тобто. ДОКТОРА-РЕВИЗОРЫ, — програми, що виявляють зміни у файлах і системних областях дисків, а й можуть у разі змін автоматично повернути кошти у початковий стан. Такі програми може бути значно більше універсальними, ніж программы-доктора, оскільки за лікуванні вони використовують заздалегідь збережену інформацію про стан файлів і областей дисків. Це дозволяє йому вилікувати файли навіть від вірусів, які було створено на даний момент написання программы.

Але можуть лікувати немає від всіх вірусів, лише від, що використовують «стандартні «, відомі на даний момент написання програми, механізми зараження файлів.

Є також ПРОГРАММЫ-ФИЛЬТРЫ, які розташовуються резидентно оперативному пам’яті комп’ютера та перехоплюють звертання до операційній системі, що використовуються вірусами для розмноження і заподіяння шкоди, і повідомляють про неї користувача. Користувач розв’яже чи заборонити виконання відповідної операции.

Деякі программы-фильтры не «ловлять «підозрілі дії, а перевіряють викликані виконання програми на наявність вірусів. Це призводить уповільнення роботи компьютера.

Проте переваги використання программ-фильтров дуже великі - вказують знайти багато віруси самісінькому ранній стадії, коли вірус ще встиг розмножитися і щось зіпсувати. Тим самим було можна звести втрати від вірусу до минимуму.

ПРОГРАММЫ-ВАКЦИНЫ, чи ИММУНИЗАТОРЫ, модифікують програми розвитку й диски в такий спосіб, що це віддзеркалюється в роботі програм, але вона вірус, від якої виробляється вакцинація, вважає ці програми чи диски вже зараженими. Ці програми вкрай неэффективны.

AIDSTEST.

У нашій країні, як було зазначено вище, особливої популярності придбали антивірусні програми, поєднують у собі функції детекторів та докторів конкретних. Найвідомішою є програма AIDSTEST Д. Н. Лозинського. Україна має на кожному IBM-совместимом персональному комп’ютері є одне з версій програмних засобів. Один із останніх версія виявляє більш 8000 вирусов.

Aidstest для свого нормально функціонувати вимагає, щоб у пам’яті був резидентных антивірусів, блокуючих запис в програмні файли, тому вони мають вивантажити, або, вказавши опцію вивантаження самої резидентной програмі, або скористатися відповідної утилитой.

Після запуску Aidstest перевіряє себе оперативну пам’ять на наявність відомих йому вірусів і знешкоджує їх. У цьому парализуются лише функції вірусу, пов’язані з розмноженням, інші побічні ефекти можуть залишатися. Програма по закінченні знешкодження вірусу у пам’яті видає запит про перезавантаженні. Слід обов’язково наслідувати цієї поради, якщо оператор ПЕОМ перестав бути системним програмістом, які займаються вивченням властивостей вірусів. До чого слід перезавантажитися кнопкою RESET, бо за «теплою перезавантаженні «деякі віруси можуть зберігатися. До того ж, краще запустити автомобіль і Aidstest з защищённой від записи дискети, бо за запуску з зараженого диска вірус може записатись у пам’ять резидентом і перешкоджати лечению.

Aidstest тестує своє тіло на наявність відомих вірусів, і навіть по спотворень у своїй коді судить про своє зараження невідомим вірусом. У цьому можливі випадки удаваної тривоги, наприклад при стискуванні антивірусу упаковщиком. Програма немає графічного інтерфейсу, і режими її задаються з допомогою ключів. Вказавши шлях, можна перевірити не весь диск, а окремий подкаталог.

Як показало практика, найоптимальніший режим для щоденної роботи задається ключами /g (перевірка всіх файлів, Не тільки з розширенням EXE, COM, SYS) і /p.s (повільна перевірка). Збільшення часу при таких опціях мало відчутно, зате можливість виявлення значно выше.

При звичайному тестуванні годі було ставити ключ /f (виправлення заражених програм, тож стирання що підлягали відновленню), і з ключем /q (видавати запит про видалення файла), оскільки будь-яка програма, зокрема і антивірусна, не застрахована від власних помилок. Ключ /f варто використовувати тоді, коли Aidstest, і навіть інші антивіруси свідчить про наявність в якомусь файлі. У цьому слід перезапустить комп’ютер з защищённой від записи дискети, оскільки система то, можливо заражене резидентным вірусом, і тоді лікування буде неефективним, або навіть просто небезпечним. При виявленні вірусу в ценном файлі слід переписати його за дискету, а ще краще — електронну, диск де він спробувати вилікувати з допомогою вказівки Aidstest-у опції /f. Якщо спроба не увінчається успіхом, треба видалити все заражені копії файла і перевірити диск знову. Якщо файлі міститься важливу інформацію, яку прати шкода, можна заархівувати файл і почекати виходу нової версії Aidstest чи іншого антивірусу, здатної лікувати цей тип вірусу. Для прискорення процесу можна направити заражений файл за зразок Лозинскому.

До сформування в файлі протоколу роботи програми Aidstest служить ключ /p. Протокол виявляється за потрібне, коли користувач не встигає переглянути імена заражених файлів. Для підтримки антивірусного програмно — апаратного комплексу Sheriff (далі розглянутий докладніше), служить ключ /z.

DOCTOR WEB.

Останнім часом різко зростає популярність інший антивірусної програми — Doctor Web. Dr. Web як і, як і Aidstest належить до класу детекторів — докторів, та на відміну від нього, має так званий «евристичний аналізатор «- алгоритм, дозволяє виявляти невідомі віруси. «Лікувальна павутиння », як перекладається з англійської назва програми, стала відповіддю вітчизняних програмістів на навала самомодифицирующихся вирусов-мутантов. Останні при розмноженні модифікують своє тіло отже іншого жодної характерною ланцюжка байт, котра була присутня в вихідної версії вірусу. Dr. Web може бути антивирусом нової генерації проти Aidstest та її аналогами.

Управління режимами як і в Aidstest здійснюється з допомогою ключів. Користувач може вказати програмі, тестувати як усе диск, і окремі підкаталоги чи групи файлів, або ж відмовитися від перевірки дисків і тестувати лише оперативну пам’ять. Натомість можна тестувати або тільки базову пам’ять, або, ще й, ще й розширену (вказується з допомогою ключа /H). Як можна і Aidstest Doctor Web може створювати звіт на роботу (ключ /P), завантажувати знакогенератор Кирилиці (ключ /R), підтримує роботи з программно-аппаратным комплексом Sheriff (ключ /Z).

Але, звісно, головною особливістю «Лікувальної павутиння «служить наявність евристичного аналізатора, який підключається ключем /P.S. Балансу між швидкістю і якістю можна домогтися, вказавши ключу рівень евристичного аналізу: 0 — мінімальний, 1 — оптимальний, 2 — максимальний; у своїй, природно, швидкість зменшується паралельно зі збільшенням якості. До того ж Dr. Web дозволяє тестувати файли, вакциновані CPAV, і навіть упаковані LZEXE, PKLITE, DIET. І тому слід зазначити ключ /U (у своїй розпакування файлів проведуть на поточному устрої) чи /U диск: (де диск: — пристрій, де буде здійснюватися розпакування), якщо дискета, з якою запущено Doctor Web захищена від записи. Багато програм упаковані у такий спосіб, хоча користувач може і підозрювати звідси. Якщо ключ /U не встановлено, то Doctor Web може пропустити вірус, заліз в запаковану программу.

Важливою функцією є контроль зараження тестируемых файлів резидентным вірусом (ключ /V). При скануванні пам’яті немає стовідсоткової гарантії, що «Лікувальна павутиння «знайде все віруси, які перебувають там. Отож, при завданні функції /V Dr. Web намагається перешкодити які залишилися резидентным вірусам заразити тестируемые файлы.

Тестування вінчестера Dr. Web-ом займає набагато більше часу, ніж Aidstest-ом, тому кожен користувач може це собі дозволити витрачати стільки часу на щоденну перевірку всього жорсткого диска. Таким користувачам можна порадити ретельніше (з опцією /S2) перевіряти принесені ззовні дискети. Якщо інформація на дискеті перебуває у архіві (а останнім часом програми розвитку й дані переносяться з машини на машину лише у такому вигляді; навіть фірми-виробники програмного забезпечення, наприклад Borland, пакують своєї продукції), слід розпакувати їх у окремий каталог на жорсткому диску відразу ж, одразу ж, запустити Dr. Web, поставивши йому як параметра замість імені диска повний шлях до цього подкаталогу. І все-таки потрібно б разів у два тижні виробляти повну перевірку «вінчестера «на віруси із завданням за максимальний рівень евристичного анализа.

Як у разі з Aidstest при початковому тестуванні годі вирішувати програмі лікувати файли, у яких вона знайде вірус, оскільки не можна виключити, що послідовність байт, затверджена антивирусе за шаблон може зіткнутися здорової програмі. Якщо з завершенні тестування Dr. Web видасть повідомлення у тому, що знайшов віруси, потрібно запустити його з опцією /P (Якщо ця опція була зазначена) у тому, щоб подивитися, який файл заражений. Після цього необхідно скопіювати файл на дискету чи електронний диск і спробувати видалити, вказавши «Лікувальної павутинні «ключ /F. При невдалому лікуванні слід вступити як і, як і аналогічній ситуації, описаної вище для програми Aidstest.

Для щоденної роботи з дискетами можна порадити таку конфігурацію: web /A /S2 /V /O /U /H, де /A — перевіряти все файли, /S2 — евристичний аналізатор, /V — перевіряти зараження резидентным вірусом, /O — виводити повідомлення OK для незаражених файлів, /U — перевіряти запаковані (але з архівірувані!) файли, /H — тестувати верхню память.

Щоб усе час не набирати те ж послідовність ключів, можна включити в меню користувача (USER MENU) оболонки NORTON COMMANDER (чи ДОС-НАВИГАТОР, якщо використовується остання) пункти виклику Dr. Web і Aidstest, або створити командний файл. Не лише заощадить час, а й зменшити обсяг змінних оточення DOS, оскільки тепер потрібно буде вказувати у команді PATH файла AUTOEXEC. BAT підкаталог з антивірусними програмами (деякі роблять це задля оперативного звернення до антивирусам).

AVSP.

(Anti-Virus Software Protection).

Цікавим програмним продуктом є антивірус AVSP. Ця програма поєднує у собі детектор, з лікарем, і ревізор, і навіть має й певні функції резидентного фільтра (заборона запис у файли з атрибутом READ ONLY). Антивірус може лікувати як відомі, і невідомі віруси, до чого спосіб лікування останніх програмі може повідомити сам користувач. До того ж AVSP може лікувати самомодифицирующиеся і Stealth-вирусы (невидимки).

Після запуску AVSP з’являється система вікон з меню й інформація про стан програми. Дуже зручна контекстна система підказок, що дає пояснення до кожного пункту меню. Вона викликається класично, клавіш F1, і змінюється під час переходу від пункту до пункту. Також не маловажним вартістю століття Windows-ов і «Полуосей «(OS/2) є підтримка миші. Суттєвий недолік інтерфейсу AVSP — неможливість вибору пунктів меню натисканням клавіші із відповідною буквою, це кілька компенсується можливістю вибрати пункт, натиснувши ALT і цифру, відповідну номера цього пункта.

До складу пакета AVSP належить резидентный драйвер AVSP. SYS, що дозволяє виявляти більшість невидимих вірусів (крім вірусів типу Ghost-1963 чи DIR), дезактивувати віруси тимчасово своєї роботи, і навіть забороняє змінювати READ ONLY файли. Встановлюється він класично, в файлі CONFIG.SYS. Розміщувати рядок в файлі бажано ближче до початку, позаяк у драйверах також має здатність утримуватися вірус, і більше їх запустится на початок функціонування AVSP. SYS, тим вища можливість, що це драйвер виявиться непотрібним. AVSP. SYS можна розмістити відразу ж потрапити за драйверами менеджерів верхньої пам’яті (HIMEM, EMM386, QEMM та інших.). Для підключення захисту READ ONLY файлів в AUTOEXEC. BAT слід зарахувати рядок що викликає файл AVSPMONI. EXE, як і входить у пакет, з параметром ON (природно ця рядок мала б бути однією з перших). Тепер під час спроби зняти атрибут чи записатись у READ ONLY файл пролунає довгий сигнал, і операція нічого очікувати виконано. Зняти захист можна або запустивши AVSPMONI. EXE з параметром OFF, або у основну програму AVSP.EXE. Треба лише ввійти у пункт «Дослідження змін — у файлах «і відзначити потрібні файли клавіш «прогалину «(можна також ознайомитися відзначити групу файлів клавіш «+ »). Після цього необхідно натиснути клавішу F8, і атрибут READ ONLY буде знято. Поставити файли під захист можна клавіш F7.

Ще одну функцію AVSP. SYS — відключення тимчасово роботи AVSP. EXE резидентных вірусів, щоправда разом із вірусами драйвер відключає та інших резидентные програми. Для перевірки цього факту мною були дві программы-пародии на віруси: одна перевертає екран, іншу перетворює в які тікають хвильові лінії вертикальні прямі (наприклад, вертикальні що утворюють панелей програми Norton Commander). Після запуску AVSP повернув екран в нормальний стан, але «хвилі «на боках рамок залишилися, щоправда, які й не переміщалися, а стояли місці. При виклик іншого пункту меню його прямі бічні рамки також перетворювалися на хвилясті, хоч і нерухомі. Із цього можна дійти невтішного висновку, що AVSP в повному обсязі відключає резидентные програми. Більше дивно повів себе ADinf: провівши тестування «перевёрнутом «вигляді він видав, що вірусів нема, після чого «повисло «(щоправда, вийти від цього стану вдалося клавішами CTRL/BREAK).

За першого запуску AVSP слід протестувати систему на наявність відомих вірусів, обравши пункти меню «Пошук і видалення вірусів «і «Комплексна перевірка ». У цьому перевіряється оперативна пам’ять, BOOT-сектор і файли. Після цього (якщо вірусів нема) треба створити таблиці даних про файлах і системних областях, обравши переважно меню пункт «Дані про файлах і віруси «і підміню «Створення файлів даних ». У цьому на диску в каталозі /AVSP буде створено файли DISKDATA. DTL (даних про розмірах і втрачає контрольних сумах файлів), MBOOT. DTL (копія Master Boot сектора) і BOOT. DTL (копія DOS Boot сектора). Тепер при комплексної перевірці AVSP порівнюватиме файли на диску з туристичною інформацією, котра міститься у тих файлах даних. Цю інформацію можна використовувати для аналізу змін, що сталися в файлах і Boot-секторах, і навіть на допомогу пошуку і лікування невідомих вірусів. Причому деяких випадках можна відновлювати навіть файли, зіпсовані невідомим вирусом.

Вказати програмі, що саме треба перевіряти, користувач можна з допомогою пункту «Установка параметрів ». Можна встановити перевірку розмірів файлів, їх контрольних сум, його присутність серед них вірусів, або всі це вкупі. Треба лише встановити «прапорці «навпаки відповідних пунктів. Також можна вказати, що став саме перевіряти (Boot-сектор, пам’ять, чи файли). Як і більшості антивірусних програм, тут користувачеві дають можливість вибрати між швидкістю і якістю. Суть швидкісної перевірки у тому, що проглядається не весь файл, лише його початок; у своїй вдається виявити більшість вірусів. Якщо ж вірус пишеться до середини, або файл заражён кількома вірусами (у своїй «старі «віруси хіба що відсуваються до середини «молодим ») то програма його й не помітить. Тому треба встановити оптимізацію за якістю, тим більше в AVSP якісне тестування займає ненабагато більше часу, ніж скоростное.

Усі операції, наприклад пошук вірусів, не можуть вироблятися на поточному диску (за умовчанням), за поточного шляху, і навіть усім дисках. Щоб поміняти шлях чи диск слід натиснути клавішу TAB. Під час роботи інформацію про шляху виводиться у верхній лівому углу.

Для перевірки комп’ютера на наявність відомих вірусів у основному меню вибрати пункт «Пошук і видалення вірусів ». Після цього можна вибрати або режим «Перевірка наявності вірусів », або режим «Комплексна перевірка ». У першому випадку проведуть перевірка файлів і завантажувальних секторів на відомі віруси, тоді як у другому — перевірять як файли і BOOT-сектора, а й пам’ять. До того ж програма порівняє стан системи з цими, збереженими в файлах DISKDATA. DTL, MBOOT. DTL і BOOT.DTL.

Спочатку програма зробить попередній прохід з метою оцінки обсягу майбутньої роботи, та був перегляне все програмні файли. Першої-ліпшої хвилини користувач може натиснути ESC для переривання перегляду чи прогалину для тимчасової зупинки. За умовчанням AVSP перевіряє розміри файлів. Якщо розмір змінено, то перевіряється контрольна сума і будується карта зміни файла. Якщо файл новий, він перевіряється на наявність відомих вірусів. Під час перевірки диска у вікно, розташоване правій частині екрана можуть виводитися різні повідомлення, наприклад, про зміну величини файла. Після перевірки їх усіх можна буде потрапити переглянути, обравши в меню пункт «Перегляд Повідомлень ». Іноді то, можливо видано повідомлення про підозрілих файлах. Це означає, що за деякими ознаками можна очікувати, що файл або заражений новим вірусом, або раніше він заражений, тільки після лікування характерні для вірусу ознаки залишилися. Таке повідомлення видається також файлах, які мають дивне час створення. Наприклад, в мене AVSP «лається «на файл PCXSHOW. EXE, яка має час створення 3:53.60. Цікавий факт, що антивірус не «лається «зважується на власну демонстрационную програму (AVSP_DEM.EXE), що має дата створення 11.11.2011 року, а час 11:11, та й до до того ж розмір — п’ять шестёрок. Мабуть, під час написання програми автор згадав, що ще існують застарілі машини, які мають CMOS, й час вводиться при загрузке.

При комплексної перевірці AVSP виводить також імена файлів, у яких відбулися зміни, і навіть так звану карту змін. Якщо в більшості изменённых файлів вона однакова, то, найімовірніше, до системи «закравсь «якийсь вірус. Найчастіше за цій ситуації програма сама «запідозрить «щось і запропонує внести інформацію про нього до бібліотеки. У цьому шаблон вірусу буде обраний автоматически.

При автоматичному визначенні нових вірусів AVSP може дозволити безлічі помилок. Саме дні, коли займався написанням роботи, зі мною відбувся такий випадок. Під час перевірки жорсткого диска AVSP видав повідомлення «Найден невідомий вірус! «і видав запит про занесенні шаблону вірусу до бібліотеки. Подивившись з ім'ям файла, відразу зрозумів, що наявність у ньому вірусу малоймовірно, оскільки це був самораспаковывающийся архів RAR-а, що його створив протягом кількох хвилин перед запуском антивірусу, перепаковав два файла, одна з яких був SFX-архивом з тим самим ім'ям, як і що вийшов. Вирішивши подивитися, що далі, я встановив опцію створення звіту та повторно запустив комплексну перевірку. Ось фрагмент цього отчета:

Директорія.

C:TOOLSUTILIT.

C:TOOLSUTILIT.

SPEED200.EXE:

SPEED200.EXE: Новый.

TB.EXE:

TB.EXE: Новый.

Директорія.

C:USERMUSICROCK.

C:USERMUSICROCK.

ROCK.EXE:

ROCK.EXE: Новый.

PTTM.COM:

PTTM.COM: Новый.

PSYCHO.EXE:

PSYCHO.EXE: Новый.

Директорія.

C:DISK_ARH.

C:DISK_ARH.

DERIVE.EXE:

DERIVE.EXE: Изменен.

— Зміна розміру: 22 053 (був 170 496, стал 192 549).

— Можливий вірус: TP-940 128.

Після відповіді запит AVSP-а про занесенні вірусу до бібліотеки, програма вивела складений нею шаблон на екран. Дизассемблировав клавіш TAB код шаблону, я побачив таку послідовність команд:

push es.

push cs.

pop ds.

mov cx,[000ch].

mov si, cx.

dec si.

Така послідовність команд, і особливо два перших (збереження відповідних регістрів) зустрічаються на початку багатьох исполнимых програм. За умови повторного запуску комплексної перевірки AVSP «знаходив «вірус у другій EXE-программе:

Директорія.

C:ANTIVIR.

C:ANTIVIR.

AIDSTEST.EXE:

AIDSTEST.EXE: Заражен.

— Вірус ERU-37.

Директорія.

C:ANTIVIRADINF.

C:ANTIVIRADINF.

REVIS.EXE:

REVIS.EXE: Заражен.

— Вірус ERU-37.

Директорія.

C:DOS.

C:DOS.

MEMMAKER.EXE:

MEMMAKER.EXE: Заражен.

— Вірус ERU-37.

MSAV.EXE:

MSAV.EXE: Заражен.

— Вірус ERU-37.

>>

Отож за автоматичному визначенні шаблону потрібно полінитися перевірити, справді вірус не залишиться цей шаблон зустрічатися в здорових программах.

Якщо у процесі AVSP знайде відомий вірус, слід зробити самі дії, як при роботі з Aidstest і Dr. Web: скопіювати файл на диск, перезавантажитися з резервної дискети і запустити AVSP. Бажано також, щоб цьому на згадку про був завантажений драйвер AVSP. SYS, оскільки він допомагає основну програму лікувати Stealth-вирусы. Після цього необхідно вибрати пункт меню «Видалення вірусів ». Якщо бібліотеці програми VIRUSES. INF є з’явилася інформація, як лікувати даний вірус, то файл буде вилікуваний, і AVSP видасть відповідне повідомлення. За відсутності у бібліотеці інформації спосіб лікування цього вірусу програма спробує автоматично відновити файл з допомогою інформації, збереженої в файлах даних DISKDATA.DTL. Якщо файл вилікувати вдасться, то, можливо, це «вирус-невидимка ». Дізнатися докладніше у тому, який же вірус «заліз «до системи за режимі перегляду повідомлень. Треба лише підвести курсор на назва вірусу й тицьнути на ENTER.

Якщо автоматично файл відновити зірвалася можна або, як відомо, видалити його, або спробувати самостійно навчити AVSP знищувати вірус. Щоправда, для написання «ліки «навіть у макроязыке AVSP-а треба мати досвіду у системному програмуванні і чути хоча б ази ассемблера. Адже у медицині таблетки в невмілих руках приносять більше шкоди, ніж принесуть користі. Якщо в користувача є модем, він може надіслати мережу «електронне оголошення «з аналогічним запитанням спосіб лікування вірусу. У цьому слід вибирати досить відомі станції, а чи не аматорські BBS, у яких лазают лише любителі GIF-ов і анекдотів про поручика Ржевского.

Для внесення і редагування інформації про віруси в меню «Дані про файлах і віруси «є підменю «Зміна інформації про віруси ». При виборі цього пункту програма виводить на екран список всіх відомих їй вірусів. За списком можна пересуватися з допомогою стрілок. Щоб самому отримати повнішу інформацію про вірус, потрібно, підбивши курсор для її імені, натиснути ENTER. Усе це інформація в файлі VIRUSES. INF, що можна редагувати лише з допомогою AVSP у пункті «Зміна інформації про віруси », а й як звичайний текстовий файл. Щоб внести інформацію про новий вірус з допомогою AVSP потрібно натиснути F2, програма запитає про ім'я вірусу, а коли користувач запровадить це, програма видасть таблицю, аналогічну тій, що виводиться при автоматичному завданні шаблону. У цю таблицю потрібно занести всі відомі звідси вірус дані. У AVSP є можливість ставити шаблон як звичайних, а й самомодифицирующихся вірусів. Це здійснюється з допомогою замінників символів в мнемонічних командах, також складових макромова антивірусу. Досвідчені програмісти можуть зробити також послідовність макрокоманд, задающую спосіб лікування файла. Першої-ліпшої хвилини можна відмовитися від редагування, натиснувши ESC чи записати інформацію до бібліотеки, натиснувши ENTER.

Але, звісно, повністю всі можливості програми реалізуються до рук людини, знайомого з ассемблером і системним програмуванням. У AVSP є можливість переглядати файли у різних форматах. При вході у режим перегляду на екран виводяться дві колонки: зліва вміст просматриваемого файла як шестнадцатеричных кодів, а справа — як ASCII-кодов. З іншого боку, виводиться корисна системна інформація, яка допоможе під час написання процедури видалення вірусу. Пересуваючи курсор, можна перейти про всяк адресу, є й функції пошуку шаблонів, порівняння файлів. Можна встановити, що не форматі буде проглядатися, наприклад, заголовок: як в EXE-файла, SYS-файла чи форматі завантажувального сектора. У цьому добре реалізований сам перегляд заголовка: його системні осередки представлені у вигляді таблиці: зліва значення осередки, справа — пояснение.

Ще однією корисною функцією є вмонтований дизассемблер. З його за допомогою вдасться розібратися чи є файлі вірус або за перевірці диска сталося хибне спрацьовування AVSP. З іншого боку, можна спробувати з’ясувати спосіб зараження, принцип дії вірусу, і навіть місце, куди він «сховав «замещённые байти файла (якщо ми маємо працювати з таким типом вірусу). Усе це дозволить написати процедуру видалення вірусу й відновити запорченные файли. Для повного щастя вистачає лише трассировщика, хоча у невмілих руках така функція можуть призвести до зараження ще великої кількості даних. У режимі дизассемблера між мнемонічними командами можна переміщатися, використовуючи стрілки. Для переходу зі зміщення, зазначеному у команді переходу, потрібно натиснути клавішу F7.

Ще одна корисна функція — видача наочної карти змін. Особливо ясно я це зрозумів, в мене виникла підозра щодо однієї з файлів (який мав, начебто, змінюватися) в ревізорі ADinf, у якому такий функції. Карта змін дозволяє оцінити, чи відповідають ці зміни вірусу чи ні, і навіть звузити область пошуку тіла вірусу при дизассемблировании. При її побудові червоний прямокутник використовується для зображення изменённого блоку, синій — неизменённого, а прозорий — нового.

Якщо існує підозра, що у систему видерся Stealth-вирус, можна запустити AVSP з параметром /D з жорсткого диска, та був загрузитися з чистою системної дискети і запустити AVSP без параметрів. Якщо результати перевірки контрольних сум відрізняються в обох випадках, то підозри виправдані. У конкурсній програмі AVSP є дві алгоритму нейтралізації «невидимок «і вони працюють лише за наявності активного вірусу у пам’яті. Те, що відбувається за цих алгоритмів схоже фільм жахів чи кінець Світу: все файли копіюються в файли даних, і потім стираються. Рятуються лише файли з атрибутом SYSTEM. У Adinf процес видалення Stealth-ов реалізований набагато простіше. Може, звісно, спосіб боротьби з «невидимками «в AVSP і надёжней, але якось це особливо приємне розвага — переорювати весь «гвинт », і до того і небезпечне.

Програма AVSP контролює ще й стан завантажувальних секторів. Якщо заражений BOOT-сектор на дискеті і антивірус неспроможна його вилікувати, слід стерти завантажувальний код. Дискета у своїй стане несистемної, але дані у своїй не загубляться. З «вінчестером «так хвацько робити не можна. При виявленні змін — у одному з BOOT-секторов жорсткого диска AVSP запропонує його зберегти у певній файлі, та був спробує видалити вірус. Якщо це програмі не вдасться, вона запропонує відновити стан завантажувального сектора. Взагалі, «вінчестер «- річ примхлива, тому перед як і операцією бажано «скинути «потрібні дані на дискети. Що там казати про операції з BOOT-секторами, якщо бувало, коли «гвинт «» самоочищался «з участю Speed Disk-а і Disk Fix-а. Щоправда, тому, хто лікував з допомогою AVSP Стелз-вирусы уже не страшно.

Microsoft Antivirus.

До складу сучасних версій MS-DOS (наприклад 7.10) входить антивірусна програма Microsoft Antivirus (MSAV). Цей антивірус може працювати у режимах детектора-доктора і ревізора.

MSAV має дружній інтерфейс у стилі MS-Windows, природно, підтримується миша. Добре реалізована контекстна допомогу: підказка є до будь-якого пункту меню, до будь-якої ситуації. Універсально реалізований доступом до пунктах меню: при цьому можна використовувати клавіші управління курсором, ключові клавіші (F1-F9), клавіші, відповідні одній з літер назви пункту, і навіть миша. Прапорці установок у пункті меню Options можна встановлювати як клавіш ПРОГАЛИНУ, і клавіш ENTER. Серйозним незручністю під час використання програми і те, що вона таблиці з цими про файлах над одному файлі, а розкидає за всіма директоріям. Ось такі й кочують файлики CHKLIST. MS під час обміну програмами від користувача до користувача, захаращуючи каталог і важливе місце на диске.

Після запуску програма завантажує власний знакогенератор й читає дерево каталогів поточного диска, після чого відбуває о головне меню. Незрозуміло, навіщо читати дерево каталогів відразу під час запуску: адже користувач може і захотіти перевіряти поточний диск. У головному меню можна змінити диск (Select new drive), вибрати між перевіркою без видалення вірусів (Detect) і зі своїми видаленням (Detect&Clean). Після запуску перевірки диска (як і режимі видалення, і ж без нього) програма спочатку сканує пам’ять на наявність відомих їй вірусів. У цьому виводиться індикація зробленого як кольорової смужки і відсотка виконаної роботи. Після сканування пам’яті MSAV приймається за перевірку безпосередньо диска.

За першої перевірці MSAV створює у кожному директорії, що містить исполнимые файли, файли CHKLIST. MS, у яких записує інформацію розмір, дати, часу, атрибутах, і навіть контрольну суму контрольованих файлів. При наступних перевірках програма порівнюватиме файли з туристичною інформацією в CHKLIST. MS-файлах. Якщо змінилися величину і дата, то програма повідомить звідси користувачеві й запросить про подальші дії: оновити інформацію (Update), встановити дату та палестинці час у відповідність із даними в CHKLIST. MS (Repair), продовжити, не звертаючи увагу зміни у даному файлі (Continue), перервати перевірку (Stop). Якщо змінилася контрольна сума, то MSAV виведе таку ж вікно, лише замість пункту Repair буде пункт Delete (видалити), оскільки програма неспроможна відновити вміст файла. При виявленні вірусу як Detect&Clean програма віддалить цей вірус. Перевірку диска в обох режимах можна призупинити, або повністю перервати, натиснувши ESC (чи F3) і відповівши на запитання програми. Під час сканування диска виводиться інформацію про виконану роботу: відсоток опрацьованих каталогів і відсоток опрацьованих файлів нинішнього року каталозі. Цю інформацію видається також наочно, як кольорової смужки, як і за перевірці пам’яті. Наприкінці перевірки MSAV видає звіт як таблиці, у якій повідомляється про кількість перевірених жорстких дисків і гнучких дисків, про кількість перевірених, інфікованих і вилікуваних файлів. З іншого боку, виводиться час сканирования.

У меню Options можна сконфигурировать програму з власним бажанням. Тут можна встановити режим пошуку вирусов-невидимок (Anti-Stealth), перевірки всіх (Не тільки исполнимых) файлів (Check All Files), і навіть дозволити чи заборонити створювати таблиці CHKLIST. MS (Create New Checksums). До того ж можна поставити режим збереження звіту про виконану роботу в файлі. Якщо встановити опцію Create Backup, та над видаленням вірусу з зараженого файла його копія буде збережено з розширенням *.VIR.

Знаходячись у основному меню, можна переглянути список вірусів, відомих програмі MSAV, натиснувши клавішу F9. У цьому виведеться вікно із назвами вірусів. Щоб подивитися докладнішу інформацію про вірус, потрібно підвести курсор для її імені Ілліча та натиснути ENTER. Можна швидко можливість перейти до цікавого для вірусу, набравши перші літери його від імені. Щодо вірус можна вивести на принтер, обравши відповідного пункту меню.

ADINF.

(Advanced Diskinfoscope).

ADinf належить до класу программ-ревизоров. Антивірус має високий швидкість роботи, здатний успішно протистояти вірусам, які у пам’яті. Він дає змогу контролювати диск, читаючи його за секторам через BIOS і використовуючи системні переривання DOS, що може перехопити вірус. Програма ADinf отримала перший приз на Другому Всесоюзному конкурсі антивірусних програм, у 1990 року, і навіть другий приз на конкурсі Borland Contest «93.

На відміну від AVSP, у якому користувачеві доводиться самому аналізувати, заражене чи машина Stealth-вирусом, загружаясь спочатку з вінчестера, і потім з еталонною дискети, в ADinf війни операція відбувається автоматично. Це завдяки оригінальному алгоритму протидії цим «вирусам-невидимкам », суті якого у тому, спочатку диск читається безпосередньо через BIOS, і потім — з допомогою DOS. Якщо інформація відрізнятиметься, то системі Стелз-вирус. ADinf був єдиним антивирусом, що відбудеться влітку 1991 року відшукав вірус DIR, побудований на принципово новий спосіб зараження і маскировки.

Для лікування заражённых файлів застосовується модуль ADinf Cure Module, не входить у пакет ADinf і поставляющийся окремо. Принцип роботи модуля — збереження невеличкий бази даних, яка описує контрольовані файли. Працюючи спільно, ці програми дозволяють знайти й видалити близько 97% файлових вірусів і 100% вірусів у завантажувальному секторі. Приміром, гучний вірус SatanBug був легко виявлено, і заражённые їм файли автоматично відновлено. Причому, навіть ті користувачі, які отримали ADinf і ADinf Cure Module кілька місяців до появи цього, змогли легко його позбутися. Докладніше про лечащем модулі нічого розповісти не можу, тому що в мене його нет.

На відміну з інших антивірусів Advansed Diskinfoscope не вимагає завантаження з еталонною, защищённой від записи дискети. При завантаженні з вінчестера надійність захисту не уменьшается.

ADinf має добре виконаний дружній інтерфейс, який на відміну від AVSP реалізований над текстовому, а графічному режимі. Програма працює безпосередньо з видеопамятью, минаючи BIOS, у своїй підтримуються все графічні адаптери. Наявність великої кількості ключів дозволяє користувачеві створити максимально зручну йому конфігурацію системи. Можна встановити, що саме треба контролювати: файли із наперед заданими розширеннями, завантажувальні сектора, наявність збійних кластерів, нові файли на наявність Stealth-вирусов, файли зі списку незмінних тощо. З власного бажанню користувач може заборонити перевіряти деякі каталоги (це потрібно, якщо каталоги є робітниками і над ними постійно відбуваються зміни). Є можливість змінювати спосіб доступу до диска (BIOS, Int13h чи Int25h/26h), редагувати список розширень перевірених файлів, і навіть призначити кожному розширенню власний вьюер, з допомогою якого буде проглядатися файли з цим розширенням. Також існують різні прибомбасы типу відновлення разом із таблицями і файла TREEINFO. NCD (цей файл реалізовує можливість швидкого переходу з дерева каталогів у програмі Norton Commander). У традиціях сучасного програмного забезпечення реалізована роботу з мишею. Як можна і вся продукція фірми «ДиалогНаука », ADinf підтримує програмно-апаратний комплекс Sheriff.

При інсталяції ADinf до системи є можливість змінити ім'я основного файла ADINF. EXE й ім'я таблиць, у своїй користувач може поставити будь-яке ім'я. Це дуже корисна функція, позаяк у останнім часом з’явилося багато вірусів, «охотящихся «за антивирусами (наприклад, є вірус, який змінює програму Aidstest що вона замість заставки фірми «ДиалогНаука «пише: «Лозинський — пень »), зокрема і поза ADinf.

Корисною функцією є можливість роботи з DOS, виходячи з програми. Це корисно, коли це треба запустити зовнішній антивірус на лікування файла, якщо в користувача немає лікуючого блоку ADinf Cure Module.

Ще один цікавий функція — заборона роботи і системи для виявлення змін диску. Ця функція корисна, коли, використовуючи терміналами працюють користувачі, які мають ще великого досвіду спілкування з комп’ютером. Такі користувачі, це через незнання чи з халатності, можуть проігнорувати повідомлення ADinf та продовжити роботу як у що ж не бувало, що може спричинити до важким наслідків. Якщо ж встановлено ключStop в рядку виклику Adinf AUTOEXEC. BAT, то, при виявленні змін диску програма зажадає покликати системного програміста, обслуговуючого даний термінал, і якщо користувач натисне ESC чи ENTER, то система перезагрузится і всі повториться знову. І усе ж таки цю функцію продумана не, оскільки продовження роботи можливо, за натисканні клавіші F10. Адже більшість користувачів, навіть якщо вони вперше сіли за комп’ютер, навіть за мінімальному те що бажанні зможуть продовжити, скориставшись «правилом наукового тику », тобто, натиснувши попри всі клавіші поспіль. На підвищення надёжности захисту від такого типу користувачів було б запровадити хоча б побачити якийсь простенький пароль.

Принцип роботи ADinf грунтується зберігається в таблиці копії MASTER-BOOT і BOOT секторів, список номерів збійних кластерів, схему дерева каталогів і інформацію про контрольованих файлах. З іншого боку, програма запам’ятовує і кожному запуску перевіряє, посутньо не змінився чи доступний DOS обсяг оперативної пам’яті (що трапляється при зараження більшістю завантажувальних вірусів), кількість встановлених вінчестерів, таблиці параметрів вінчестера у сфері змінних BIOS.

За першого запуску програма запам’ятовує обсяг оперативної пам’яті, знаходить і запам’ятовує адресу оброблювача переривання Int 13h в BIOS, який використовуватися попри всі наступних перевірках, і будує таблиці для перевірених дисків. У цьому перевіряється, показував чи вектор переривання 13h в BIOS перед завантаженням DOS.

При наступних запусках ADinf перевіряє обсяг оперативної пам’яті, доступною DOS, перемінні BIOS, завантажувальні сектора, список номерів збійних кластерів (бо окремі віруси, записавшись в кластер, позначають його, як сбойный, щоб їх затёрли інші дані, і навіть не виявили примітивні антивіруси). До того ж антивірус шукає новостворені і знищені підкаталоги, нові, віддалені, перейменовані, перемещённые і змінилися файли (перевіряється зміна довжини і контрольної суми). Якщо ADinf знайде, що, змінився файл зі списку незмінних, або у файлі відбулися зміни без зміни дати й часу, і навіть наявність в файла дивній дати (число більше 31, місяць більше 12 чи рік довший поточного) або часі (хвилин більше 59, годин більше 23 чи секунд більше 59), він видасть попередження у тому, що можна зараження вирусом.

Якщо виявлено зміни BOOT-секторов, можна як діалогу порівняти системні таблиці, хто був доі після зміни, і з бажанню відновити колишній сектор. Після поновлення змінений сектор зберігається у файлі на диску на подальше аналізу. Нові збійні кластери (вірніше інформації про неї в FAT) можуть з’явитися після запуску будь-якої утиліти, лечащей диск (наприклад NDD) чи завдяки діям вірусу. Якщо Adinf видав повідомлення, а користувач не запускала ніяких подібних утиліт, то, швидше за все в комп’ютер видерся вірус. З отриманням такого повідомлення слід продовжити перевірку, уважно стежачи над усіма повідомленнями про зміни файлів і завантажувальних секторів. Якщо системі справді вірус, то такі повідомлення не змусять на себе довго чекати (бо коли її вірусу перебуватиме у «сбойном «кластері, йому будь-коли передасться управление).

Після перевірки ADinf видає зведену таблицю, сообщающую про зміни на диску. По таблиці можна переміщатися стрілками і переглядати докладну інформацію, натиснувши ENTER на сюжеті, який пункті. Існує можливість початку кожному пункту з допомогою «швидких «клавіш. Змінилися файли можна переглянути у «класичному режимі (шістнадцятковий скидати / ASCII-коды) з допомогою вбудованого вьюера, котрий читає диск через BIOS. Можна ще скористатися зовнішнім вьюером, попередньо вказавши щодо нього шлях. Залучивши зовнішній редактор, можна відредагувати змінився файл.

Але не зовсім звично виглядає форма, у якій ADinf повідомляє про виявлених підозрілих змінах: замість видачі повідомлення про конкретних змінах виводить червоне вікно з переліком всіх можливих і позначає галочкою пункти, відповідні змін, що стався зараз. Якщо після отримання такого повідомлення натиснути ESC, то програма запросить про подальші дії: оновити інформацію про диску, не оновлювати її, лікувати (за наявності лікуючого модуля ADinf Cure Module) чи записати протокол. Для лікування можна скористатися зовнішнім антивирусом, завантаживши його з відкритого вікна роботи з DOS, яке викликається комбінацією клавіш ALT+V.

Якщо не ставляться до розряду підозрілих, то після видачі таблиці змін можна натиснути ESC. У цьому програма запитає, чи потрібно оновлювати даних про диску в таблицях або потрібно, і навіть чи потрібно створювати файл в звітом про виконану роботу. Після вибору однієї з пунктів програма виконує затребованное дію і завершує свою работу.

Зведена таблиця описаних антивірусних программ.

ІМ'Я AIDSTEST DR. WEB AVSP ADINF MSAV.

Версія 1723 4.0 2.95 12.00 DOS 7.10.

Т І П Фільтр — - + - ;

Доктор + + + - +.

Ревізор — - + + +.

Детектор + + + - +.

Колличество вірусів 9000 7100 276 * - 2546.

Підтримка миші - + + + +.

Віконний інтерфейс — + + + +.

Виявлення Stealth-вирусов — - + + +.

Виявлення неиз-вестных вірусів — + + + +.

Час роботи за завданні соответст-вующих режимів ** /g /p.s /a /s2 /v /o /u Якість, ***/все файли За умовчанням По умолча-нию з кон-трольными суммами.

2,5 хв 23 хв 4 хв/ 11 хв 1 хв 1 хв 20 сек.

Виноски таблицы:

* — Є можливість самостійного поповнення даних про вирусах.

** — Дані про быстродействии наведено для машини 486DX2−66 з жорстким диском 270 MB, заповненим на 97%.

*** — Файли з розширеннями *.com, *.exe, *.ov?, *.bin, *.sys.

Заключение

.

На погляд, із усіх вітчизняних програм, розглянутих тут, ADinf є найбільш повної, логічно завершеною антивірусної системою. Інші програми перебувають, як у стадії розвитку. Программы-фаги, у принципі, що неспроможні досягти завершення, оскільки маємо розвиватися, аби протистояти новим вірусам, хоча Dr. Web вже пішов шляхом вдосконалення інтерфейсу. Високий потенціал у програми AVSP, яка за відповідної доопрацюванні (спрощення алгоритмів пошуку Stealth-вирусов, запровадження низкоуровневой захисту, поліпшенні інтерфейсу) триватиме високі позиції з середовищі антивирусов.

Жоден тип антивірусних програм окремо це не дає повної захисту від вірусів. Кращою стратегією захисту від вірусів є багаторівнева, «ешелонована «оборона. Засобам розвідки в «обороні «від вірусів відповідають программы-детекторы, дозволяють перевіряти знову отримане програмне забезпечення на наявність вірусів. На передньому краї оборони перебувають программы-фильтры. Ці програми можуть першими повідомити на роботу вірусу й не допустити зараження програм, тож дисків. Другий ешелон оборони становлять программы-ревизоры, программы-доктора і доктора-ревизоры. Найглибший ешелон оборони — це кошти розмежування доступу. Не дозволяють вірусам й невірно працюючим програмам, навіть якщо вони проникли в комп’ютер, зіпсувати важливі дані.

У «стратегічному резерві «перебувають архівні копії інформації. Це дозволяє відновити інформацію при її ушкодженні. Цей неформальний опис дозволяє краще зрозуміти методику застосування антивірусних коштів.