RSS    

   Реферат: Вирусы

При исполнении такого файла этот распаковщик распаковывает исполняемую программу

в оперативную память и запускает ее.

Пораженные вирусом файлы могут быть компрессированы такими паковщиками так же,

как и неинфицированные. При сканировании обычными антивирусными программами

пораженные таким образом файлы будут определяться как неинфицированные, так как

тело вируса упаковано вместе с кодом программы.

Unpacking Engine распаковывает файлы, созданные наиболее популярными утилитами

упаковки: DIET, PKLITE, LZEXE и EXEPACK различных версий, во временный файл и

передает его на повторную проверку. Если внутри упакованного файла обнаружен

известныйвирус, то возможно его удаление. При этом исходный файл замещается

распакованным и вылеченным. Механизм распаковки корректно работает и с

многократно упакованными файлами.

Модуль распаковки работает также с некоторыми версиями иммунизаторов (программы

защищающие выполняемые файлы от заражения путем присоединения к ним

контролирующих блоков) файлов (CPAV и F-XLOCK) и шифрующих программ (CryptCOM).

Модуль Unpacking Engine будет обновляться для новых паковщиков, шифровщиков и

иммунизаторов.

5.2. Механизм распаковки из архивов

(Extracting Engine).

Проблема поиска вирусов в архивированных файлах (ZIP, ARJ, LHA и RAR) становится

в данный момент, пожалуй, одной из самых насущных. Инфицированный файл может

затаиться на несколько месяцев и даже лет, и быстро распространиться при

невнимательном обращении с такими архивами. Особую опасность представляют

архивы, хранящиеся на BBS.

С такой ситуацией успешно справляется механизм распаковки из архивов Extracting

Engine. При сканировании архивов Extracting Engine распаковывает файлы из архива

по заданной маске во временный файл и передает его для проверки основному

модулю. После проверки временный файл уничтожается.

Текущая версия Extracting Engine содержит коды для распаковки архивов формата

ARJ, ZIP, LHA, RAR существующих версий.

ЗАМЕЧАНИЯ!

1. AVP не удаляет вирусы из архивов, а только детектирует их.

2. Extracting Engine не распаковывает архивы, защищенные паролем.

AVP детектирует зараженный файл, даже если он зашифрован утилитой CryptCOM,

затем упакован PKLITE и записан в архив программой PKZIP.

 

5.3. Анализатор кода

(Code Analyzer).

Анализатор кода (эвристический сканер) проверяет коды файлов и секторов по

разным ветвям алгоритма сканируемой программы на наличие вирусоподобных

инструкций и выдает сообщение, если обнаружена комбинация команд, таких как

открытие или запись в файл, перехват векторов прерываний и т.д.

Конечно, этот алгоритм может давать ложные срабатывания, как и любой из подобных

эвристических алгоритмов, но он был протестирован на очень большом количестве

файлов, и при этом не было получено ни одного действительно ложного

срабатывания.

При сканировании кода Code Analyzer проверяет много ветвей алгоритма программы

(включая несколько подуровней). Вследствие этого AVP работает примерно на 20%

медленнее при включенном Code Analyzer, чем при выключенном. Но данный механизм

определяет около 80% вирусов (включая многие шифрованные) из нашей коллекции, и

мы рассчитываем, что новые неизвестные вирусы будут определяться с такой же

вероятностью.

Сообщения Code Analyzer:

Сообщения выдаются в формате:

: подозрение на вирус типа TYPE - подозрение на вирус , где "TYPE" является

одной из строк:

Com - файл выглядит как зараженный неизвестным вирусом, поражающим COM файлы;

Exe - файл выглядит как зараженный неизвестным вирусом, поражающим EXE файлы;

ComExe - файл выглядит как зараженный неизвестным вирусом, поражающим файлы

формата COM и EXE;

ComTSR, ExeTSR, ComExeTSR - файл выглядит как зараженный неизвестным резидентным

вирусом, поражающим файлы формата COM, EXE, или COM и EXE файлы;

Boot - файл/сектор выглядит как зараженный неизвестным boot-вирусом или как

инсталлятор boot-вируса;

Trojan - файл выглядит как троянская программа;

5.4. Избыточное сканирование.

Избыточное сканирование - это механизм полного сканирования содержимого

исследуемых файлов вместо стандартной обработки только “точек входа” (т.е. тех

мест, где начинается обработка программ системой).

Этот режим рекомендуется использовать, когда вирус не обнаружен, но в работе

системы продолжаются “странные” проявления (частые “самостоятельные”

перезагрузки, замедление работы некоторых программ и др.). В остальных случаях

использование этого режима не рекомендуется, так как процесс сканирования

замедляется в несколько раз и увеличивается вероятность ложных срабатываний при

сканировании незараженных файлов.

 

 

5.5. AVP Monitor.

AVP Monitor представляет собой резидентную антивирусную программу, которая

постоянно находится в оперативной памяти и контролирует операции обращения к

файлам и секторам. Прежде чем разрешить доступ к объекту, AVP Monitor проверяет

его на наличие вируса. Таким образом он позволяет обнаружить и удалить вирус до

момента реального заражения системы.

Если при запуске программы в командной строке указать специальный ключ /q, то

AVP Monitor запустится в особом режиме, при котором будут запрещены следующие

действия пользователя:

выгрузка программы из памяти (команда "Выход" в контекстном меню и кнопка

"Выгрузить AVP Monitor" во вкладке "Общие" станут недоступными);

выключение AVP Monitor (команда "Выключить" в контекстном меню и установленный

флажок "Включить" во вкладке "Общие" станут недоступными);

изменение любых настроек программы (все остальные опции также будут

недоступными).

В этом режиме можно просматривать вкладку "Статистика", а также просмотреть

установленные опции, не изменяя их.

Главное окно AVP Monitor содержит 5 вкладок: "Общие", "Объекты", "Действия",

"Настройки", "Статистика". Перемещаясь по вкладкам и выбирая нужные опции, Вы

можете изменять настройки программы.

Чтобы все произведенные Вами действия по выбору опций вступили в силу, нужно

нажать кнопку "Применить"(в этом случае окно AVP Monitor останется открытым) или

кнопку "OK"(в этом случае окно свернется в иконку) которые находятся в нижней

части окна.

5.5.1. Вкладка "Общие".

В верхней части вкладки "Общие" содержится различная информация о программе

(номер версии, дата последнего обновления и количество известных программе

вирусов, регистрационная информация, информация о разработчиках). Нажав кнопку

"Техническая поддержка", Вы получите информацию о каналах, по которым

осуществляется техническая поддержка для легальных пользователей программы.

В нижней части вкладки находится флажок "Включить", с помощью которого можно

включать или выключать монитор.

Кнопка "Выгрузить AVP Monitor" позволяет завершить работу программы.

5.5.2. Вкладка "Объекты".

Эта вкладка позволяет выбирать типы файлов, которые будут проверяться.

Вы можете выбрать один из типов файлов:

Программы по формату - проверять на наличие вируса только программы, т.е.

объекты, имеющие внутренний формат выполняемых файлов, а также все файлы,

имеющие расширения: .BAT, .COM, .EXE, .OV*, .SYS, .BIN, .PRG, .VxD, .DLL, .OLE.;

Программы по расширению - проверять все выполняемые файлы, имеющие расширения:

*.BAT, *.COM, *.EXE, *.OV*, *.SYS, и т.д.

Все файлы - проверять все файлы, независимо от их внутреннего формата;

По маске - проверять файлы по маскам, задаваемым пользователем. Маски нужно

вписывать в поле ввода через запятую. Например: *.EXE, *.COM, *.DOC.

5.5.3. Вкладка "Действия".

Вкладка "Действия" позволяет задавать действия AVP Monitor при обнаружении

зараженного объекта. Вы можете выбрать одно из следующих действий:

Запрашивать пользователя о действии - если Вы выберите эту опцию, то

при каждой попытке обращения к зараженному объекту будет появляться синий экран,

содержащий информацию об этом зараженном объекте, имя вируса и запрос на лечение

объекта: "Попытаться удалить вирус?" Нажмите клавишу <Y> если Вы хотите вылечить

объект, или клавишу <N> в противном случае;

при каждой попытке обращения к подозрительному объекту (если включена опция

"Предупреждения" во вкладке "Настройки") или объекту, содержащему измененный или

поврежденный вирус (если включена опция "Анализатор кода" во вкладке

"Настройки") будет появляться синий экран, содержащий информацию об этом

объекте, имя вируса (или тип вируса) и запрос: "Запретить доступ к объекту?"

Нажмите клавишу <Y> если Вы хотите запретить доступ, или клавишу <N> в противном

случае;

Лечить зараженные объекты автоматически - лечение зараженных объектов будет

производиться автоматически, т.е. без какого-либо запроса;

Удалять зараженные объекты автоматически - все зараженные объекты будут

автоматически удаляться при обращении к ним. Если выбрать эту опцию, появится

Страницы: 1, 2, 3, 4, 5, 6, 7, 8


Новости


Быстрый поиск

Группа вКонтакте: новости

Пока нет

Новости в Twitter и Facebook

                   

Новости

© 2010.