Реферат: Компьютерные вирусы
Для создания в файле протокола работы программы Aidstest служит ключ /p. Протокол оказывается нужным, когда пользователь не успевает просмотреть имена зараженных файлов. Для поддержки антивирусного программно - аппаратного комплекса Sheriff (далее будет рассмотрен подробнее), служит ключ /z.
DOCTOR WEB
В последнее время стремительно растет популярность другой антивирусной программы - Doctor Web. Dr.Web так же, как и Aidstest относится к классу детекторов - докторов, но в отличие от последнего, имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов. Последние при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса. Dr.Web можно назвать антивирусом нового поколения по сравнению с Aidstest и его аналогами.
Управление режимами также как и в Aidstest осуществляется с помощью ключей. Пользователь может указать программе, тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную (указывается с помощью ключа /H). Как и Aidstest Doctor Web может создавать отчет о работе (ключ /P), загружать знакогенератор Кириллицы (ключ /R), поддерживает работу с программно-аппаратным комплексом Sheriff (ключ /Z).
Но, конечно, главной особенностью "Лечебной паутины" является наличие эвристического анализатора, который подключается ключом /S. Баланса между скоростью и качеством можно добиться, указав ключу уровень эвристического анализа: 0 - минимальный, 1 - оптимальный, 2 - максимальный; при этом, естественно, скорость уменьшается пропорционально увеличению качества. К тому же Dr.Web позволяет тестировать файлы, вакцинированные CPAV, а также упакованные LZEXE, PKLITE, DIET. Для этого следует указать ключ /U (при этом распаковка файлов будет произведена на текущем устройстве) или /U диск: (где диск: - устройство, на котором будет производиться распаковка), если дискета, с которой запущен Doctor Web защищена от записи. Многие программы упакованы таким способом, хотя пользователь может и не подозревать об этом. Если ключ /U не установлен, то Doctor Web может пропустить вирус, забравшийся в запакованную программу.
Важной функцией является контроль заражения тестируемых файлов резидентным вирусом (ключ /V). При сканировании памяти нет стопроцентной гарантии, что "Лечебная паутина" обнаружит все вирусы, находящиеся там. Так вот, при задании функции /V Dr.Web пытается воспрепятствовать оставшимся резидентным вирусам заразить тестируемые файлы.
Тестирование винчестера Dr.Web-ом занимает на много больше времени, чем Aidstest-ом, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям можно посоветовать более тщательно (с опцией /S2) проверять принесенные извне дискеты. Если информация на дискете находится в архиве (а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения, например Borland, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr.Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку "винчестера" на вирусы с заданием максимального уровня эвристического анализа.
Так же как и в случае с Aidstest при начальном тестировании не стоит разрешать программе лечить файлы, в которых она обнаружит вирус, так как нельзя исключить, что последовательность байт, принятая в антивирусе за шаблон может встретиться в здоровой программе. Если по завершении тестирования Dr.Web выдаст сообщения о том, что нашел вирусы, нужно запустить его с опцией /P (если эта опция не была указана) для того, чтобы посмотреть, какой файл заражен. После этого нужно скопировать файл на дискету или на электронный диск и попытаться удалить, указав "Лечебной паутине" ключ /F. При неудачном лечении следует поступить так же, как в аналогичной ситуации, описанной выше для программы Aidstest.
Для ежедневной работы с дискетами можно посоветовать следующую конфигурацию: web <имя диска>/A /S2 /V /O /U /H , где /A - проверять все файлы, /S2 - эвристический анализатор, /V - проверять заражение резидентным вирусом, /O - выводить сообщение OK для незараженных файлов, /U - проверять запакованные (но не архивированные!) файлы, /H - тестировать верхнюю память.
Чтобы все время не набирать одну и ту же последовательность ключей, можно включить в меню пользователя (USER MENU) оболочки NORTON COMMANDER (или ДОС-НАВИГАТОР, если используется последняя) пункты вызова Dr.Web и Aidstest, либо создать командный файл. Это не только сэкономит время, но и позволит уменьшить объем переменных окружения DOS, так как теперь не нужно будет указывать в команде PATH файла AUTOEXEC.BAT подкаталог с антивирусными программами (некоторые делают это для оперативного обращения к антивирусам).
AVSP
(Anti-Virus Software Protection)
Интересным программным продуктом является антивирус AVSP. Эта программа сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторые функции резидентного фильтра (запрет записи в файлы с атрибутом READ ONLY). Антивирус может лечить как известные, так и неизвестные вирусы, при чем о способе лечения последних программе может сообщить сам пользователь. К тому же AVSP может лечить самомодифицирующиеся и Stealth-вирусы (невидимки).
При запуске AVSP появляется система окон с меню и информация о состоянии программы. Очень удобна контекстная система подсказок, которая дает пояснения к каждому пункту меню. Она вызывается классически, клавишей F1, и меняется при переходе от пункта к пункту. Так же не маловажным достоинством в наш век Windows-ов и "Полуосей"(OS/2) является поддержка мыши. Существенный недостаток интерфейса AVSP - отсутствие возможности выбора пунктов меню нажатием клавиши с соответствующей буквой, хотя это несколько компенсируется возможностью выбрать пункт, нажав ALT и цифру, соответствующую номеру этого пункта.
В состав пакета AVSP входит также резидентный драйвер AVSP.SYS, который позволяет обнаруживать большинство невидимых вирусов (кроме вирусов типа Ghost-1963 или DIR), дезактивировать вирусы на время своей работы, а также запрещает изменять READ ONLY файлы. Устанавливается он классически, в файле CONFIG.SYS. Размещать строку в файле желательно ближе к началу, так как в драйверах тоже может содержаться вирус, и чем больше их запустится до начала функционирования AVSP.SYS, тем выше вероятность, что этот драйвер окажется бесполезным. AVSP.SYS можно разместить сразу же за драйверами менеджеров верхней памяти (HIMEM,EMM386,QEMM и др.). Для подключения защиты READ ONLY файлов в AUTOEXEC.BAT следует включить строку вызывающую файл AVSPMONI.EXE, так же входящий в пакет, с параметром ON (естественно эта строка должна быть также одной из первых). Теперь при попытке снять атрибут или записаться в READ ONLY файл прозвучит длинный сигнал, и операция не будет выполнена. Снять защиту можно либо запустив AVSPMONI.EXE с параметром OFF, либо в основной программе AVSP.EXE. Для этого нужно войти в пункт "Исследование изменений в файлах" и отметить нужные файлы клавишей "пробел" (можно также отметить группу файлов клавишей "+"). После этого нужно нажать клавишу F8, и атрибут READ ONLY будет снят. Поставить файлы под защиту можно клавишей F7.
Ещё одна функция AVSP.SYS - отключение на время работы AVSP.EXE резидентных вирусов, правда вместе с вирусами драйвер отключает и некоторые другие резидентные программы. Для проверки этого факта мною были загружены две программы-пародии на вирусы: одна переворачивает экран, а другая превращает в бегущие волновые линии вертикальные прямые (например, вертикальные образующие панелей программы Norton Commander). При запуске AVSP вернул экран в нормальное состояние, но "волны" на боках рамок остались, правда, они и не перемещались, а стояли на месте. При вызове другого пункта меню его прямые боковые рамки также превращались в волнистые, хотя и неподвижные. Из этого можно сделать вывод, что AVSP не полностью отключает резидентные программы. Более странно повёл себя ADinf: произведя тестирование в "перевёрнутом" виде он выдал, что вирусов не обнаружено, после чего "повис" (правда, выйти из этого состояния удалось клавишами CTRL/BREAK).
При первом запуске AVSP следует протестировать систему на наличие известных вирусов, выбрав пункты меню "Поиск и удаление вирусов" и "Комплексная проверка". При этом проверяется оперативная память, BOOT-сектор и файлы. После этого (если вирусов не обнаружено) нужно создать таблицы данных о файлах и системных областях, выбрав в основном меню пункт "Данные о файлах и вирусах" и подменю "Создание файлов данных". При этом на диске в каталоге /AVSP будут созданы файлы DISKDATA.DTL (данные о размерах и контрольных суммах файлов), MBOOT.DTL (копия Master Boot сектора) и BOOT.DTL (копия DOS Boot сектора). Теперь при комплексной проверке AVSP будет сравнивать файлы на диске с информацией, содержащейся в этих файлах данных. Эта информация может быть использована для анализа изменений, произошедших в файлах и Boot-секторах, а также для поиска и лечения неизвестных вирусов. Причем в ряде случаев можно восстанавливать даже файлы, испорченные неизвестным вирусом.
