Реферат: Компьютерные вирусы

Вступление

При работе с современным персональным компьютером пользователя (аособенно начинающего) может подстерегать множество неприятностей: потеряданных, зависание  системы,  выход  из  строя  отдельных частей компьютера идругие. Одной из причин этих  проблем наряду с ошибками в программномобеспечении и неумелыми действиями самого оператора ПЭВМ могут быть проникшие всистему компьютерные вирусы.

Компьютерный вирус — это специально написанная небольшая по размерампрограмма, которая может «приписывать» себя  к другим  программам(т.е. «заражать» их), а  также  выполнять различные  нежелательныедействия  на компьютере. Программа, внутри  которой находится  вирус,называется «зараженной». Когда такая программа начинает работу, тосначала управление  получает вирус. Вирус находит и «заражает» другиепрограммы, а также выполняет какие-нибудь вредные действия (например, портитфайлы  или  таблицу  размещения  файлов на диске, «засоряет» оперативную память и т.д.). Для маскировки  вируса действия  по заражению других программ и нанесению вреда могут выполняться не  всегда, а, скажем, привыполнении  определенных условий. После того как вирус  выполнит нужные  емудействия, он  передает управление той программе, в которой он находится, и онаработает так же, как обычно. Тем самым внешне работа зараженной программывыглядит так же, как и незараженной. Эти  программы  подобно  биологическим вирусам размножаются, записываясь в системные области диска  или  приписываяськ файлам, и производят различные нежелательные действия, которые, зачастую,имеют катастрофические  последствия.  Чтобы  не стать жертвой этой напасти, каждомупользователю  следует  хорошо знать принципы защиты от компьютерных вирусов.

С давних времён известно, что к любому яду  рано  или  поздно можно найтипротивоядие. Таким противоядием в  компьютерном  мире стали программы,называемые антивирусными. Данные программы  можно классифицировать по пятиосновным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры — это резидентные программы, которые  оповещаютпользователя обо всех попытках  какой-либо  программы  записаться на диск, а ужтем более отформатировать его,  а  также  о других подозрительных действиях(например, о попытках изменить установки CMOS). При этом выводится запрос оразрешении или  запрещении данного действия. Принцип работы этих программ основан  на перехвате соответствующих  векторов  прерываний.  К  преимуществу программэтого класса по сравнению с программами-детекторами можно отнестиуниверсальность по отношению  как  к  известным, так  и неизвестным вирусам,тогда как  детекторы  пишутся  под  конкретные, известные на данный моментпрограммисту  виды.  Это  особенно актуально сейчас, когда появилось множество  вирусов-мутантов, не имеющих постоянного кода. Однакопрограммы-фильтры не могут  отслеживать вирусы, обращающиеся непосредственно к BIOS,  а  также BOOT-вирусы, активизирующиеся ещё до запуска  антивируса,  в начальной стадии загрузки DOS, К недостаткам  также  можно  отнести частуювыдачу запросов на осуществление какой-либо операции:  ответы на вопросыотнимают у  пользователя  много  времени  и  действуют  ему  на  нервы.  При установке    некоторых    антивирусов-фильтров могут возникать  конфликты  с другими  резидентными программами, использующими те же прерывания, которые просто  перестают работать.

Наибольшее распространение в нашей стране  получили  программы-детекторы,а вернее программы, объединяющие в себе  детектор  и доктор. Наиболее известныепредставители этого класса — Aidstest, Doctor Web, MicroSoft AntiVirus далеебудут рассмотрены подробнее. Антивирусы-детекторы рассчитаны на конкретныевирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса  с кодами проверяемых программ. Такие программы нужно  регулярно обновлять, так как они быстро устаревают и  не  могут  обнаруживать новые видывирусов.

Ревизоры — программы, которые анализируют  текущее  состояние файлов исистемных областей диска и сравнивают его с информацией, сохранённой ранее водном из файлов  данных  ревизора.  При  этом проверяется состояниеBOOT-сектора, таблицы FAT,  а  также  длина файлов, их время создания,атрибуты, контрольная сумма.  Анализируя сообщения программы-ревизора,пользователь может решить,  чем вызваны изменения: вирусом или нет. При выдачетакого рода  сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не  вирус.  Так  был случай,когда один начинающий пользователь не на шутку перепугался, когда антивирусAVSP выдал ему сообщение об изменениях в файле CONFIG.SYS. Оказалось, что доэтого на компьютер была  осуществлена инсталляция менеджера памяти QEMM,который пишет свой драйвер в CONFIG.SYS.

 

Проявление наличия вируса в работе на ПЭВМ

 

Все действия вируса могут  выполняться достаточно  быстрои без выдачи каких-либо сообщений, поэтому  пользователю  очень трудно заметить, что в компьютере происходит что-то необычное.

Пока на компьютере заражено относительно мало  программ, наличие вирусаможет быть практически незаметно. Однако по прошествии некоторого времени накомпьютере начинает твориться что-то странное, например:

Ø  некоторые программы перестают работать или начинают работать неправильно;

Ø  на экран выводятся посторонние сообщения, символы и т.д.;

Ø  работа на компьютере существенно замедляется;

Ø  некоторые файлы оказываются испорченными и т.д.

К этому моменту, как  правило, уже  достаточно  много (или  дажебольшинство) программ являются зараженными вирусом, а некоторые файлы и диски — испорченными. Более того, зараженные программы с одного компьютера могли бытьперенесены с помощью дискет или по локальной сети на другие компьютеры.

Некоторые виды вирусов  ведут себя еще более коварно. Они вначаленезаметно заражают большое число программ или дисков, а потом причиняют оченьсерьезные повреждения, например,  формируют весь жесткий диск на компьютере. Абывают вирусы, которые стараются вести себя как можно более незаметно, нопонемногу и постепенно портят данные на жестком диске компьютера.

Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.

Разновидности компьютерных вирусов

Каждая конкретная разновидность вируса может заражать только один или дватипа файлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы.Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы,заражающие  драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать  и исполнимые файлы.

В последнее время получили распространение вирусы нового типа — вирусы,имеющие файловую  систему на диске. Эти вирусы обычно называются  DIR. Такие вирусы прячут свое тело в некоторый  участок диска (обычно — в последнийкластер диска) и помечают его в таблице размещения файлов (FAT) как конецфайла.

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольнохитрые приемы маскировки. Я  расскажу о двух из них: «невидимых» исамомодифицирующихся вирусах.

«НЕВИДИМЫЕ» вирусы.  Многие  резидентные  вирусы  (и файловые,и загрузочные) предотвращают свое обнаружение тем, что  перехватываютобращения  DOS (и тем самым прикладных программ) к зараженным файлам и областямдиска и выдают их в исходном (незараженном) виде. Разумеется, этот  эффектнаблюдается  только на  зараженном компьютере — на «чистом»компьютере  изменения  в файлах и  загрузочных областях диска можно легкообнаружить.

САМОМОДИФИЦИРУЮЩИЕСЯ вирусы. Другой способ, применяемый  вирусами  для того, чтобы укрыться от  обнаружения, — модификация своего тела. Многие  вирусыхранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы.Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этойкодировки, а, кроме того, изменяют и свою стартовую часть, которая служит дляраскодировки остальных команд  вируса. Таким образом, в теле подобного вирусане имеется ни одной  постоянной цепочки байтов, по которой можно было быидентифицировать  вирус. Это, естественно, затрудняет нахождение таких вирусовпрограммами-детекторами.

          

Методы защиты от компьютерных вирусов

Каким бы не был вирус, пользователю необходимо знать  основные  методызащиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

Ø  общие средства защиты информации, которые полезны также и как страховка отфизической порчи дисков, неправильно работающих программ или ошибочных действийпользователя;

Ø  профилактические меры, позволяющие уменьшить вероятность  заражениявирусом;

Ø  специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов.Имеются две основные разновидности этих средств:

Ø  копирование информации — создание копий  файлов  и  системных  областей дисков;

Ø  разграничение  доступа  предотвращает несанкционированное использование информации,в частности, защиту от изменений программ и данных  вирусами, неправильноработающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации  очень важны  длязащиты от вирусов, все же их недостаточно.  Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можноразделить на  несколько  видов:  детекторы, доктора (фаги), ревизоры,доктора-ревизоры, фильтры и вакцины (иммунизаторы).

ПРОГРАММЫ-ДЕТЕКТОРЫ позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах науказанном пользователем диске специфическая для данного вируса комбинациябайтов. При ее обнаружении в каком-либо файле на экран выводитсясоответствующее  сообщение. Многие детекторы имеют режимы лечения илиуничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторымогут обнаруживать только те вирусы, которые ей «известны». ПрограммаScan фирмы McAfee Associates  и  Aidstest Д.Н.Лозинского позволяют обнаруживатьоколо 9000 вирусов, но всего их более двадцати тысяч! Некоторыепрограммы-детекторы, например Norton AntiVirus или  AVSP  фирмы «Диалог-МГУ»,могут настраивать на новые типы вирусов, им необходимо лишь указать комбинациибайтов, присущие этим вирусам. Тем не мнение невозможно  разработать такуюпрограмму, которая могла бы обнаруживать  любой  заранее  неизвестный вирус.

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова — в ней могут сидеть какой-нибудь новый  вирус или слегка модифицированная версия старого вируса, неизвестныепрограммам-детекторам.

Многие программы-детекторы (в том числе и Aidstest) не умеют обнаруживатьзаражение «невидимыми» вирусами, если такой вирус активен в памятикомпьютера. Дело в том, что для чтения диска они используют функции DOS, а ониперехватываются вирусом, который говорит, что все хорошо. Правда, Aidstest  и другие детекторы пытаются выявить вирус путем просмотра оперативной памяти, но против  некоторых «хитрых» вирусов это не помогает. Так что надежный диагноз  программы-детекторы дают только при загрузке DOS с «чистой»,защищенной от записи дискеты, при  этом копия программы-детектора также должнабыть запущена с этой дискеты.

Некоторые детекторы (скажем ADinf фирмы «Диалог-Наука») умеютловить «невидимые» вирусы, даже когда они активны. Для этого оничитают  диск, не  используя вызовы DOS. Правда, этот метод работает не на всехдисководах.

Большинство программ-детекторов имеют функцию «доктора», т.е.они пытаются вернуть зараженные файлы или области диска в их исходноесостояние. Те файлы, которые не удалось восстановить, как правило, делаютсянеработоспособными или удаляются.

Большинство программ-докторов умеют «лечить» только отнекоторого  фиксированного набора вирусов, поэтому они быстро устаревают. Нонекоторые программы могут обучаться не только способам обнаружения, но испособам лечения  новых  вирусов. К таким программам относится AVSP фирмы«Диалог-МГУ».

ПРОГРАММЫ-РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминаютсведения о состоянии программ и системных областей дисков (загрузочного сектораи сектора с таблицей разбиения жесткого диска).  Предполагается, что в этотмомент программы и системные области дисков не заражены. После этого с помощьюпрограммы-ревизора можно в любой момент сравнить состояние программ и системныхобластей  дисков  с исходным. О выявленных несоответствиях сообщаетсяпользователю.

Чтобы проверка состояния программ и дисков проходила при каждой загрузкеоперационной системы, необходимо включить команду запуска  программы-ревизора вкомандный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютернымвирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.

Многие программы-ревизоры являются довольно «интеллектуальными»-  они  могут отличать изменения в файлах, вызванные, например, переходом кновой версии  программы, от изменений, вносимых вирусом, и не  поднимаютложной  тревоги.  Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программныхфайлах. Понятно, что в нормальной ситуации такие изменения практически никогдане встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений,может с уверенностью  сообщить, что  они вызваны именно вирусом.    

Другие программы часто используют различные полумеры – пытаютсяобнаружить вирус в оперативной памяти, требуют вызовы  из  первой  строки файла AUTOEXEC.BAT, надеясь работать на «чистом» компьютере, и т.д.Увы, против некоторых «хитрых» вирусов все это бесполезно.

Для проверки того, не изменился ли  файл, некоторые  программы-ревизоры проверяют длину файла. Но эта проверка недостаточна — некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка — прочесть  весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы егоконтрольная сумма осталась прежней, практически невозможно.

В последнее время появились очень полезные гибриды ревизоров и докторов,т.е. ДОКТОРА-РЕВИЗОРЫ,- программы, которые не только обнаруживают изменения вфайлах и системных областях дисков, но и могут в случае изменений автоматическивернуть их в исходное состояние. Такие программы могут быть гораздо болееуниверсальными, чем программы-доктора, поскольку при лечении они используютзаранее  сохраненную информацию о состоянии файлов и областей  дисков. Это позволяет  им  вылечивать файлы даже от тех вирусов, которые не были созданы намомент написания программы.

Но они могут лечить не от всех вирусов, а только от  тех, которые используют «стандартные», известные на момент написания программы,механизмы заражения файлов. 

Существуют также ПРОГРАММЫ-ФИЛЬТРЫ, которые располагаются резидентно воперативной памяти компьютера и перехватывают те обращения  к  операционной системе, которые используются вирусами для  размножения и нанесения  вреда, исообщают  о них пользователя. Пользователь может разрешить или запретитьвыполнение соответствующей операции.

Некоторые программы-фильтры не «ловят» подозрительные действия, а  проверяют вызываемые на выполнение программы на наличие вирусов.Это  вызывает  замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма  значительны –они позволяют обнаружить многие вирусы на самой ранней стадии, когда  вирус еще  не успел размножиться и что-либо испортить. Тем самым можно свести убыткиот вируса к минимуму.

ПРОГРАММЫ-ВАКЦИНЫ, или  ИММУНИЗАТОРЫ,  модифицируют  программы и диски таким образом, что это не отражается на работе  программ,  но тот вирус,  от которого производится вакцинация, считает эти программы  или  диски уже зараженными. Эти программы крайне неэффективны.

 

AIDSTEST

В нашей стране, как уже было сказано  выше,  особую  популярностьприобрели антивирусные программы, совмещающие в  себе  функции детекторов идокторов. Самой известной из них является программа AIDSTEST Д.Н. Лозинского. ВУкраине  практически  на  каждом IBM-совместимом персональном компьютере естьодна из версий этой программы. Одна из последних версия обнаруживает более 8000вирусов.

Aidstest для  своего  нормального  функционирования  требует, чтобы впамяти не было резидентных антивирусов,  блокирующих  запись в программныефайлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самойрезидентной программе, либо  воспользоваться соответствующей утилитой.

При запуске Aidstest проверяет себя оперативную память на наличиеизвестных ему вирусов и обезвреживает их. При этом  парализуются только функциивируса, связанные с размножением, а  другие побочные эффекты могут оставаться.Поэтому программа после  окончания обезвреживания вируса в памяти выдает запросо  перезагрузке. Следует обязательно последовать этому совету, если операторПЭВМ не является системным программистом, занимающимся изучением свойстввирусов. При чем следует перезагрузиться  кнопкой  RESET, так как при«теплой перезагрузке» некоторые вирусы  могут  сохраняться.Вдобавок,  лучше  запустить  машину  и  Aidstest  с  защищённой от записи дискеты,так как  при  запуске  с  зараженного диска вирус может записаться в память резидентом  и  препятствовать лечению.

Aidstest тестирует свое тело на наличие известных вирусов,  а также поискажениям в своем коде судит о своем заражении неизвестным вирусом. При этомвозможны случаи ложной  тревоги,  например  при сжатии антивируса упаковщиком.Программа не имеет графического интерфейса, и режимы ее  работы задаются спомощью ключей. Указав путь, можно проверить не весь диск, а отдельныйподкаталог.

Как показала практика, самый оптимальный режим  для  ежедневной работызадается ключами /g (проверка всех файлов, а не только с расширениемEXE,COM,SYS) и /s (медленная проверка). Увеличение времени при таких опцияхпрактически не ощутимо, зато вероятность обнаружения на порядок выше.

При обычном тестировании не следует ставить ключ /f (исправлениезараженных программ и стирание не  подлежащих  восстановлению), даже с ключом/q (выдавать запрос об удалении файла), поскольку любая программа, в том числеи антивирусная, не  застрахована  от  ошибок.  Ключ  /f  следует  использовать тогда,  когда Aidstest, а также другие антивирусы указывают на наличие вируса вкаком-либо файле. При этом следует перезапустить компьютер с  защищённой отзаписи дискеты, так как система может  быть  заражена резидентным вирусом, итогда лечение будет неэффективным, а то и просто опасным. При обнаружениивируса в ценном файле следует переписать его на дискету, а ещё лучше — наэлектронный, диск и там попытаться вылечить с помощью указания Aidstest-у опции/f. Если попытка не увенчается успехом, то надо удалить все зараженные копиифайла и проверить диск снова. Если в файле содержится  важная информация,которую стирать жалко, то можно заархивировать файл  и подождать выхода новойверсии Aidstest  или  другого  антивируса, способной лечить этот тип вируса.Для  ускорения  процесса  можно направить зараженный файл в качестве образцаЛозинскому.

Для создания в файле протокола работы программы Aidstest служит ключ /p.Протокол оказывается нужным,  когда пользователь не успевает просмотреть именазараженных файлов. Для поддержки антивирусного программно — аппаратногокомплекса Sheriff (далее будет рассмотрен подробнее), служит ключ /z.

DOCTOR WEB

В последнее время стремительно растет популярность другой антивируснойпрограммы — Doctor Web. Dr.Web так же, как  и  Aidstest относится к классудетекторов — докторов, но в отличие от последнего, имеет так называемый«эвристический анализатор» -  алгоритм, позволяющий обнаруживать неизвестныевирусы. «Лечебная паутина», как переводится с английского названиепрограммы, стала ответом отечественных программистов на нашествиесамомодифицирующихся вирусов-мутантов. Последние при размножении  модифицируютсвое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса. Dr.Web можно назвать антивирусомнового поколения по сравнению с Aidstest и его аналогами.

 Управление режимами также как и в  Aidstest  осуществляется с помощью ключей. Пользовательможет указать программе, тестировать как весь диск, так и отдельные подкаталогиили группы файлов, либо же отказаться от проверки дисков и тестировать  только оперативную память. В свою очередь можно тестировать либо только базовуюпамять, либо, вдобавок, ещё и расширенную (указывается с  помощью ключа /H).Как и Aidstest Doctor Web может  создавать  отчет о работе (ключ /P), загружатьзнакогенератор Кириллицы  (ключ /R),  поддерживает  работу  с программно-аппаратным  комплексом Sheriff (ключ /Z).

Но, конечно, главной особенностью «Лечебной паутины» являетсяналичие эвристического анализатора, который подключается ключом /S. Балансамежду скоростью и качеством можно добиться, указав ключу уровень эвристическогоанализа: 0 — минимальный, 1 — оптимальный, 2 — максимальный; при  этом, естественно,  скорость уменьшается пропорционально увеличению качества. К томуже Dr.Web позволяет тестировать файлы, вакцинированные CPAV, а такжеупакованные LZEXE, PKLITE, DIET. Для этого следует указать ключ /U (при этомраспаковка файлов будет произведена на текущем  устройстве) или /U диск: (где диск:  -  устройство,  на  котором  будет производиться распаковка), еслидискета, с которой запущен Doctor Web защищена от записи. Многие программыупакованы  таким  способом, хотя пользователь может и не подозревать об этом.Если  ключ /U не установлен, то Doctor Web может пропустить  вирус, забравшийся в запакованную программу.

Важной функцией является контроль заражения тестируемых  файловрезидентным вирусом (ключ /V). При сканировании  памяти  нет стопроцентнойгарантии, что «Лечебная паутина» обнаружит все  вирусы, находящиесятам. Так вот, при задании функции /V Dr.Web пытается воспрепятствоватьоставшимся резидентным вирусам  заразить тестируемые файлы.

Тестированиевинчестера Dr.Web-ом занимает на много больше времени, чем Aidstest-ом, поэтомуне  каждый  пользователь  может себе позволить тратить столько  времени  на ежедневную  проверку всего жесткого диска. Таким пользователям можнопосоветовать  более тщательно (с опцией /S2) проверять принесенные извнедискеты. Если информация на дискете находится в архиве  (а  в  последнее времяпрограммы и данные переносятся с машины на машину только  в таком виде; даже фирмы-производители  программного  обеспечения, например Borland, пакуют своюпродукцию),  следует  распаковать его в отдельный каталог на жестком диске исразу же, не  откладывая, запустить Dr.Web, задав ему в качестве параметравместо имени диска полный путь к этому подкаталогу. И все же нужно хотя  бы разв две недели производить полную проверку «винчестера» на  вирусы сзаданием максимального уровня эвристического анализа.

Так же как и в случае с Aidstest при начальном  тестировании не стоитразрешать программе лечить файлы, в которых она  обнаружит вирус, так как нельзяисключить, что последовательность байт, принятая в антивирусе за  шаблон может  встретиться  в  здоровой программе. Если по завершении тестированияDr.Web выдаст  сообщения о том, что нашел вирусы, нужно запустить его с опцией/P (если эта опция не была указана) для того, чтобы  посмотреть, какой файлзаражен. После этого нужно скопировать файл на дискету или на электронный диски попытаться удалить, указав «Лечебной паутине» ключ /F. Принеудачном лечении следует поступить так же,  как в аналогичной ситуации,описанной выше для программы Aidstest.

Для ежедневной работы с дискетами можно  посоветовать  следующуюконфигурацию: web <имя диска>/A /S2 /V /O /U /H, где /A -  проверять всефайлы, /S2 — эвристический анализатор,  /V  -  проверять заражение резидентнымвирусом, /O — выводить сообщение OK для незараженных файлов, /U — проверятьзапакованные (но не архивированные!) файлы, /H — тестировать верхнюю память.

Чтобы все время не набирать одну и  ту  же последовательность ключей, можно включить в меню пользователя (USER  MENU)оболочки NORTON COMMANDER (или ДОС-НАВИГАТОР, если  используется  последняя)пункты вызова Dr.Web  и  Aidstest,  либо  создать  командный файл. Это нетолько сэкономит  время,  но  и  позволит  уменьшить объем переменных окруженияDOS, так как  теперь  не  нужно  будет указывать в команде PATH файлаAUTOEXEC.BAT подкаталог с  антивирусными программами (некоторые делают это дляоперативного  обращения к антивирусам).

AVSP

(Anti-Virus Software Protection)

Интересным программным продуктом является антивирус AVSP.  Эта программасочетает в себе и детектор, и доктор, и ревизор, и  даже имеет некоторыефункции резидентного фильтра (запрет записи в файлы с атрибутом READ ONLY).Антивирус может лечить  как  известные, так и неизвестные вирусы, при чем оспособе лечения  последних программе может сообщить сам пользователь. К тому жеAVSP может лечить самомодифицирующиеся и Stealth-вирусы (невидимки).

При запуске AVSP появляется система окон с меню и информация о состояниипрограммы. Очень удобна контекстная система  подсказок, которая дает поясненияк  каждому  пункту  меню.  Она  вызывается классически, клавишей F1, и меняетсяпри  переходе  от  пункта  к пункту. Так же не маловажным достоинством в нашвек Windows-ов и «Полуосей»(OS/2) является поддержка мыши.Существенный недостаток интерфейса AVSP — отсутствие возможности выборапунктов  меню нажатием клавиши с соответствующей  буквой,  хотя  это  несколькокомпенсируется возможностью выбрать пункт, нажав ALT и цифру, соответствующую номеруэтого пункта.

В состав пакета AVSP входит также резидентный драйвер AVSP.SYS, которыйпозволяет обнаруживать большинство невидимых вирусов (кроме вирусов типаGhost-1963 или DIR),  дезактивировать  вирусы на время своей работы, а такжезапрещает изменять READ  ONLY  файлы. Устанавливается он классически,  в файле  CONFIG.SYS.  Размещать строку в файле желательно ближе к началу, так какв драйверах тоже может содержаться вирус, и чем больше их запустится до  началафункционирования AVSP.SYS, тем выше вероятность, что  этот  драйвер окажетсябесполезным. AVSP.SYS можно разместить сразу  же  за драйверами менеджеровверхней памяти (HIMEM,EMM386,QEMM  и  др.). Для подключения защиты READ ONLYфайлов  в  AUTOEXEC.BAT  следует включить строку вызывающую файл AVSPMONI.EXE,так же  входящий  в пакет, с параметром ON (естественно эта строка должна быть также одной из первых). Теперь при попытке снять атрибут или  записаться в READONLY файл прозвучит длинный сигнал, и операция не будет выполнена. Снять защитуможно либо запустив AVSPMONI.EXE с параметром OFF, либо в основной программеAVSP.EXE. Для этого нужно войти в пункт «Исследование изменений вфайлах»  и  отметить  нужные файлы клавишей «пробел» (можнотакже отметить группу файлов  клавишей "+"). После этого нужно нажатьклавишу F8, и  атрибут  READ ONLY будет снят. Поставить файлы под защиту можноклавишей F7.

Ещё  одна  функция  AVSP.SYS  -  отключение  на  время  работы AVSP.EXEрезидентных вирусов, правда вместе  с  вирусами  драйвер отключает и некоторыедругие резидентные программы. Для  проверки этого факта мною были загружены двепрограммы-пародии на  вирусы: одна переворачивает экран, а другая превращает в бегущие  волновые линии вертикальные прямые (например, вертикальные образующиепанелей программы Norton Commander). При запуске AVSP вернул  экран внормальное состояние, но «волны» на боках  рамок  остались, правда,они и не перемещались, а стояли на месте. При вызове  другого пункта меню егопрямые боковые рамки  также  превращались  в волнистые, хотя и неподвижные. Изэтого можно сделать вывод,  что AVSP не полностью отключает резидентныепрограммы. Более  странно повёл себя ADinf: произведя тестирование в«перевёрнутом» виде он выдал, что вирусов не обнаружено, после чего«повис» (правда, выйти из этого состояния удалось клавишамиCTRL/BREAK).

При первом запуске AVSP следует протестировать систему на  наличиеизвестных вирусов, выбрав пункты меню «Поиск и удаление вирусов» и«Комплексная проверка». При этом  проверяется  оперативная память,BOOT-сектор и файлы. После этого (если вирусов не обнаружено) нужно создатьтаблицы данных о файлах и  системных  областях, выбрав в основном меню пункт«Данные о файлах и  вирусах» и подменю «Создание файловданных». При этом на диске в  каталоге /AVSP будут созданы файлыDISKDATA.DTL (данные о размерах и  контрольных суммах файлов), MBOOT.DTL (копияMaster Boot сектора) и BOOT.DTL (копия DOS Boot сектора). Теперь при комплексной  проверке AVSP будет сравнивать файлы на диске с информацией, содержащейся в этих файлах данных. Эта информация может быть использована дляанализа изменений, произошедших в файлах  и  Boot-секторах, а также для поискаи лечения неизвестных вирусов. Причем в ряде случаев можно восстанавливать дажефайлы, испорченные  неизвестным вирусом.

Указать программе, что именно  нужно  проверять,  пользователь может спомощью пункта «Установка параметров».  Можно  установить проверкуразмеров файлов, их контрольных сумм, наличие в них  вирусов, либо все этовместе. Для этого нужно  установить  «флажки» напротивсоответствующих пунктов. Так же можно указать, что именно проверять(Boot-сектор, память, или файлы). Как и в  большинстве антивирусных  программ, здесь  пользователю  предоставляется возможность выбрать между скоростью икачеством. Суть  скоростной проверки заключается в том, что просматривается невесь  файл, а только его начало; при этом удается обнаружить большинство вирусов. Если же вирус пишется в середину,  либо  файл  заражён  несколькимивирусами (при этом «старые» вирусы как бы оттесняются в середину«молодым») то программа его и не заметит. Поэтому следует установитьоптимизацию по качеству, тем более что в AVSP качественное тестированиезанимает не намного больше  времени,  чем скоростное.

Все операции, например поиск вирусов, могут производиться  на текущемдиске (по умолчанию), по текущему пути, а также  на  всех дисках. Для тогочтобы поменять путь  или  диск  следует  нажать клавишу TAB. Во время работыинформация о пути выводится  в  верхнем левом углу.

Для проверки компьютера на наличие известных вирусов  нужно  в основномменю выбрать пункт «Поиск  и  удаление  вирусов».  После этого можновыбрать либо режим «Проверка наличия  вирусов»,  либо режим«Комплексная проверка». В первом случае  будет  произведена проверкафайлов и загрузочных секторов на известные вирусы, а  во втором — будутпроверены не только файлы и BOOT-сектора, но и память. К тому же программасравнит состояние  системы  с  данными, сохраненными в файлах DISKDATA.DTL,MBOOT.DTL и BOOT.DTL.

Сначала программа произведет предварительный проход для оценки объемапредстоящей работы, а  затем  просмотрит  все  программные файлы. В любоймомент пользователь может нажать ESC для  прерывания просмотра или пробел  для временной  остановки. По  умолчанию AVSP проверяет размеры файлов. Если размер изменен, то проверяетсяконтрольная сумма и строится карта изменения файла. Если  файл новый, то онпроверяется на наличие известных вирусов. Во время проверки диска в окно,расположенное в  правой  части экрана могут выводиться различные сообщения,например, об изменении размера файла. После проверки их все можно будет просмотреть, выбрав в меню пункт «Просмотр Сообщений». Иногда можетбыть выдано сообщение о подозрительных файлах. Это означает, что по некоторым признакамможно судить о том, что файл либо заражен  новым вирусом, либо он ранее был имзаражен, но после лечения характерные для вируса признаки остались. Такоесообщение выдается  также о файлах, у которых странное время создания.Например, у меня AVSP «ругается»  на  файл  PCXSHOW.EXE,  у которого  время   создания 3:53.60. Интересен тот факт, что антивирус не«ругается»  на  свою  демонстрационную программу (AVSP_DEM.EXE),  у которой  дата  создания 11.11.2011 года, а время 11:11, да ещё к тому же размер  -  пять шестёрок. Вероятно, при написании программы  автор  вспомнил, что ещё существуют устаревшие машины, у которых нет CMOS, и дата  вводится призагрузке.

При комплексной проверке AVSP выводит также  имена  файлов,  в которыхпроизошли изменения, а также так называемую карту изменений. Если у большинстваизменённых файлов она одинаковая, то, вероятнее всего, в систему«закрался» какой-то вирус. Чаще всего  в такой ситуации программасама «заподозрит» неладное  и  предложит внести информацию о нём вбиблиотеку. При этом шаблон вируса  будет выбран автоматически.

При автоматическом определении новых вирусов AVSP  может  допуститьмножество ошибок. Как раз в те дни, когда я занимался написанием работы, сомной произошел  именно  такой  случай.  При проверке жесткого диска AVSP выдалсообщение «Найден  неизвестный вирус! » и выдал запрос о занесениишаблона вируса в  библиотеку. Взглянув на имя файла, я сразу понял, что наличиев нем вируса маловероятно, так как это был самораспаковывающийся  архив  RAR-а,который я создал за несколько минут до запуска антивируса,  перепаковав двафайла, один из которых был также SFX-архивом с тем же именем, что иполучившийся. Решив посмотреть, что будет дальше, я установил опцию созданияотчета и повторно  запустил  комплексную проверку. Вот фрагмент этого отчета:

Директория

 C:\TOOLS\UTILIT

 C:\TOOLS\UTILIT

 SPEED200.EXE:

 SPEED200.EXE: Новый

       TB.EXE:

       TB.EXE: Новый

Директория

 C:\USER\MUSIC\ROCK

 C:\USER\MUSIC\ROCK

   ROCK.EXE:

   ROCK.EXE: Новый

   PTTM.COM:

   PTTM.COM: Новый

   PSYCHO.EXE:

   PSYCHO.EXE: Новый

Директория

 C:\DISK_ARH

 C:\DISK_ARH

   DERIVE.EXE:

   DERIVE.EXE: Изменен

— Изменениеразмера: 22053 (был 170496, стал 192549)

— Возможныйвирус: TP-940128

После ответа на запрос AVSP-а о занесении вируса в библиотеку, программавывела составленный ею шаблон на  экран. Дизассемблировав клавишей TAB кодшаблона, я увидел  следующую  последовательность команд:

         push es

         push cs

         pop ds

         mov cx,[000ch]

         mov si, cx

         dec si

  Такаяпоследовательность команд, а особенно две первые  (сохранение соответствующихрегистров) встречаются в начале многих  исполнимых программ. При  повторном запуске  комплексной  проверки AVSP «находил» вирус в каждой второйEXE-программе:

Директория

 C:\ANTIVIR

 C:\ANTIVIR

 AIDSTEST.EXE:

 AIDSTEST.EXE: Заражен

— Вирус ERU-37

Директория

 C:\ANTIVIR\ADINF

 C:\ANTIVIR\ADINF

    REVIS.EXE:

    REVIS.EXE: Заражен

— Вирус ERU-37

Директория

 C:\DOS

 C:\DOS

 MEMMAKER.EXE:

 MEMMAKER.EXE: Заражен

— Вирус ERU-37

     MSAV.EXE:

     MSAV.EXE: Заражен

— Вирус ERU-37

 <<<< Работа прервана (диск C:)>>>>

Так что при автоматическом определении шаблона следует не  поленитьсяпроверить, действительно ли это вирус и не будет ли этот шаблон встречаться вздоровых программах.

Если в процессе AVSP обнаружит известный  вирус,  то  следует предпринятьте же действия, как и при работе с Aidstest и Dr.Web: скопировать файл на диск,перезагрузиться с резервной дискеты и запустить AVSP. Желательно также, чтобыпри этом в память был загружен драйвер AVSP.SYS, так как он помогает основной программе лечить Stealth-вирусы. После этого нужно  выбрать  пункт  меню«Удаление вирусов». Если в библиотеке программы VIRUSES.INF  естьинформация о том, как лечить данный вирус, то файл будет вылечен, и AVSP выдастсоответствующее сообщение. При отсутствии в библиотеке информации о способелечения данного вируса программа  попытается автоматически восстановить  файл при  помощи  информации, сохраненной в файлах данных DISKDATA.DTL. Если файл вылечить  не удастся, то, возможно, это «вирус-невидимка». Узнатьпоподробнее о том, что же за вирус «залез» в систему можно в  режиме просмотра сообщений. Для этого нужно подвести курсор на название  вируса  инажать ENTER.

Если автоматически файл восстановить не удалось то  можно  либо, каквсегда, удалить его, либо попытаться  самостоятельно  обучить AVSP уничтожатьвирус. Правда, для написания «лекарства»  даже на макроязыке AVSP-анужно иметь опыт в системном программировании и знать хотя бы азы ассемблера.Ведь и в медицине  таблетки в неумелых руках  приносят  больше  вреда, чемпользы. Если у пользователя есть модем, то он может послать в сеть «электронное объявление» с вопросом о способе лечения вируса. Приэтом следует выбирать достаточно известные  станции,  а  не  любительские BBS,в которые лазают только любители GIF-ов и анекдотов про  поручика Ржевского.

Для внесения и редактирования  информации  о  вирусах  в  меню«Данные о файлах и о вирусах» есть подменю «Изменение информации о вирусах». При выборе этого пункта программа  выводит  на экран список всех известных ей вирусов. По списку можно передвигаться с помощьюстрелок. Чтобы получить более полную информацию о вирусе, нужно, подведя курсорк его имени, нажать ENTER. Вся эта информация находится в файле VIRUSES.INF,который можно редактировать не только с помощью AVSP в пункте «Изменениеинформации о  вирусах», но и как обычный текстовый файл. Чтобы внестиинформацию о  новом вирусе с помощью AVSP нужно нажать F2, программа спроситоб имени вируса, а когда пользователь введет это имя, программа  выдасттаблицу, аналогичную той, что выводится при автоматическом задании шаблона. Вэту таблицу нужно занести все известные об этом вирусе данные. В AVSPсуществует возможность задавать  шаблон  не только обычных, но исамомодифицирующихся вирусов. Это осуществляется посредством заменителейсимволов в мнемонических командах, также составляющих макроязык антивируса.Опытные программисты могут внести также последовательность макрокоманд,задающую  способ лечения файла. В любой момент можно отказаться отредактирования, нажав ESC или записать информацию в библиотеку, нажав ENTER.

Но, конечно, полностью все возможности программы реализуются в рукахчеловека, знакомого с ассемблером и системным  программированием. В AVSPимеется возможность просматривать файлы  в  разных форматах. При входе в режимпросмотра на экран выводятся две  колонки: слева содержимое просматриваемогофайла в виде  шестнадцатеричных кодов, а справа — в виде ASCII-кодов. Кроме того,  выводится полезная системная информация, которая поможет при  написаниипроцедуры удаления вируса. Передвигая курсор,  можно  перейти на любой адрес,есть также  функции  поиска  шаблонов,  сравнения файлов. Можно установить, вкаком формате будет  просматриваться, например, заголовок: как у EXE-файла, SYS-файла  или  в  формате загрузочного сектора. При этом хорошо реализован сампросмотр заголовка: его системные ячейки представлены в виде таблицы:  слевазначение ячейки, справа — пояснение.

Ещё одной полезной функцией является встроенный  дизассемблер. С егопомощью можно разобраться есть ли в файле вирус или при проверке дискапроизошло ложное  срабатывание  AVSP.  Кроме  того, можно попытаться выяснитьспособ заражения, принцип действия  вируса, а также место, куда он «спрятал»  замещённые  байты  файла (если мы имеем дело с таким типомвируса). Все это позволит написать процедуру удаления вируса и восстановитьзапорченные  файлы. Для полного счастья не хватает только трассировщика, хотя внеумелых руках такая функция может привести к заражению  ещё  большегоколичества данных. В режиме дизассемблера  между  мнемоническими командамиможно перемещаться, используя стрелки. Чтобы перейти по смещению, указанному вкоманде перехода, нужно нажать клавишу F7.

Ещё одна полезная функция — выдача наглядной карты  изменений. Особенноясно я это понял, когда у меня возникло подозрение в отношении одного из файлов(который не должен был,  вроде  бы,  меняться) в ревизоре ADinf, в котором неттакой функции. Карта  изменений позволяет оценить, соответствуют ли этиизменения  вирусу или нет, а также сузить область поиска тела вируса при дизассемблировании. При её построении красный прямоугольник  используется дляизображения изменённого блока, синий — неизменённого, а прозрачный — нового.

Если есть подозрение, что в  систему  забрался  Stealth-вирус, можнозапустить AVSP с параметром /D с жесткого  диска,  а  затем загрузиться счистой системной дискеты и запустить AVSP без параметров. Если результатыпроверки контрольных  сумм  отличаются  в обоих случаях, то подозренияоправданы. В программе AVSP есть два алгоритма нейтрализации«невидимок» и оба они работают только при наличии активного вируса впамяти. То, что происходит при  реализации этих алгоритмов похоже на фильмужасов или конец Света: все файлы копируются в файлы данных, а потом стираются.Спасаются только файлы с атрибутом  SYSTEM.  В  Adinf  процесс  удаленияStealth-ов  реализован  гораздо  проще.  Может,  конечно,  способ борьбы с«невидимками» в AVSP и надёжней, но как-то это не особо приятноеразвлечение — перепахивать весь «винт», да к тому же и небезопасное.

Программа AVSP контролирует также и состояние загрузочных секторов. Еслизаражен BOOT-сектор на дискете и антивирус  не  может его вылечить, то следуетстереть  загрузочный  код. Дискета при этом станет несистемной, но данные приэтом не потеряются. С «винчестером» так лихо поступать нельзя. Приобнаружении  изменений в одном из BOOT-секторов жесткого диска  AVSP предложит  его сохранить в некотором файле, а затем  попытается  удалить вирус. Если это программе сделать не удастся, то она предложит восстановитьпрежнее состояние загрузочного сектора. Вообще, «винчестер» — вещькапризная, поэтому  перед  подобной  операцией  желательно «скинуть»нужные данные на дискеты. Что уж говорить про  операции с BOOT-секторами, еслибыли случаи, когда  «винт»  «самоочищался» при участииSpeed Disk-а и Disk Fix-а. Правда, тому, кто  лечил  с помощью AVSP Стелз-вирусыуже ничего не страшно.

Microsoft Antivirus

В состав современных версий MS-DOS (например 7.10) входит  антивируснаяпрограмма Microsoft Antivirus (MSAV).  Этот  антивирус может работать в режимахдетектора-доктора и ревизора.

MSAV имеет дружественный интерфейс в стиле MS-Windows, естественно,поддерживается мышь. Хорошо реализована  контекстная  помощь: подсказка естьпрактически к любому пункту меню, к любой ситуации. Универсально реализовандоступ к пунктам меню: для  этого можно использовать клавиши управлениякурсором, ключевые  клавиши (F1-F9), клавиши, соответствующие одной из буквназвания  пункта, а также мышь. Флажки установок в пункте меню Options можно устанавливать как клавишей ПРОБЕЛ, так и  клавишей  ENTER.  Серьёзным неудобствомпри использовании программы является то, что она сохраняет таблицы с данными офайлах не в одном файле,  а  разбрасывает их по всем директориям. Вот и кочуютфайлики CHKLIST.MS  при обмене программами от пользователя к пользователю,захламляя  каталог и место на диске.

При запуске программа загружает собственный  знакогенератор  и читаетдерево каталогов текущего  диска,  после  чего  выходит  в главное меню. Непонятно, зачем читать дерево каталогов сразу при запуске: ведь пользовательможет и не захотеть  проверять  текущий диск. В главном меню можно сменить диск(Select  new  drive), выбрать между проверкой без удаления вирусов (Detect) и сих удалением (Detect&Clean). При запуске проверки диска (как  в  режимеудаления, так и без него) программа сначала сканирует  память  на наличиеизвестных ей вирусов. При этом выводится индикация проделанной работы в видецветной полоски и процента выполненной работы. После сканирования памяти MSAVпринимается за проверку непосредственно диска.

При первой проверке MSAV создает в каждой директории, содержащейисполнимые файлы, файлы CHKLIST.MS, в которые записывает  информацию о размере,  дате,  времени,  атрибутах,  а  также  контрольную суммуконтролируемых файлов. При  последующих  проверках программа будет сравниватьфайлы с информацией в  CHKLIST.MS-файлах. Если изменились размер и дата, топрограмма сообщит об  этом пользователю и запросит о дальнейших действиях:обновить информацию (Update), установить дату и время в соответствие с данными в CHKLIST.MS (Repair), продолжить, не обращая внимания  на  изменения в данномфайле (Continue), прервать проверку (Stop). Если изменилась контрольная сумма,то MSAV выведет такое же окно, только вместо пункта Repair будет пункт Delete(удалить), так как  программа не может восстановить содержимое файла. Приобнаружении вируса в режиме Detect&Clean программа удалит этот вирус. Проверку диска в обоих режимах можно приостановить, либо  полностью  прервать,нажав ESC (или F3)  и  ответив  на  соответствующий  вопрос программы. Во времясканирования  диска  выводится  информация о проделанной работе: процентобработанных каталогов и процент  обработанных файлов в текущем  каталоге. Эта  информация  выдается также наглядно, в виде цветной полоски, как и припроверке  памяти. В конце проверки MSAV выдает отчет в виде таблицы, в  которойсообщается о количестве проверенных жестких дисков и гибких дисков, околичестве проверенных, инфицированных и вылеченных  файлов. Кроме того,выводится время сканирования.

В меню Options можно сконфигурировать программу по собственному желанию.Здесь можно установить режим  поиска  вирусов-невидимок (Anti-Stealth),проверки всех (а не только  исполнимых)  файлов (Check All Files), а такжеразрешить или запретить  создавать таблицы CHKLIST.MS (Create New Checksums). Ктому  же  можно  задать режим сохранения отчета о проделанной работе в  файле. Если установить опцию Create Backup, то перед удалением вируса из  зараженногофайла его копия будет сохранена с расширением *.VIR

Находясь в основном меню, можно  просмотреть  список  вирусов, известныхпрограмме MSAV, нажав клавишу F9.  При  этом  выведется окно с названиямивирусов. Чтобы посмотреть более  подробную  информацию о вирусе, нужно подвестикурсор к  его  имени  и  нажать ENTER. Можно быстро перейти к интересующемувирусу,  набрав  первые буквы его имени. Информацию о вирусе можно вывести  на принтер, выбрав соответствующий пункт меню.

ADINF

(Advanced Diskinfoscope)

ADinf относится к классу программ-ревизоров.  Антивирус  имеет высокуюскорость работы, способен с успехом  противостоять  вирусам, находящимся впамяти. Он позволяет контролировать диск,  читая его по секторам через BIOS ине используя системные  прерывания DOS, которые может перехватить вирус.Программа ADinf получила первый приз на Втором Всесоюзном конкурсе антивирусных  программ в 1990  году,  а  также  второй  приз  на  конкурсе Borland Contest'93.

В отличие от AVSP, в котором  пользователю  приходится  самомуанализировать, заражена  ли  машина  Stealth-вирусом,  загружаясь сначала свинчестера, а потом с эталонной дискеты, в ADinf эта операция происходитавтоматически. Это происходит благодаря  оригинальному алгоритмупротиводействия этим «вирусам-невидимкам», суть которого заключаетсяв том, что сначала диск читается непосредственно через BIOS, а потом — спомощью DOS.  Если  информация будет отличаться, то в системе Стелз-вирус.ADinf был  единственным антивирусом, который летом 1991  года  обнаружил вирус  DIR, построенный на принципиально новом способе заражения и маскировки.

Для лечения заражённых файлов применяется  модуль  ADinf  Cure Module, невходящий в  пакет  ADinf  и  поставляющийся  отдельно. Принцип работы модуля — сохранение небольшой базы данных,  описывающей контролируемые файлы.  Работая совместно,  эти  программы позволяют обнаружить и удалить около 97% файловыхвирусов и  100% вирусов  в  загрузочном  секторе.  К  примеру,  нашумевший вирус SatanBug был легко обнаружен, и заражённые им файлы  автоматическивосстановлены. Причем, даже те пользователи, которые  приобрели ADinf и ADinfCure Module за несколько  месяцев  до  появления этого вируса, смогли без трудаот него  избавиться. Подробнее  о лечащем модуле я ничего рассказать не могу,так как  у  меня  его нет.

В отличие от других антивирусов Advansed Diskinfoscope не требуетзагрузки с эталонной, защищённой от записи дискеты. При загрузке с винчестеранадежность защиты не уменьшается.

ADinf имеет хорошо выполненный дружественный интерфейс,  который вотличие от AVSP реализован не в текстовом, а в  графическом режиме. Программаработает непосредственно с  видеопамятью,  минуя BIOS, при этом поддерживаютсявсе графические адаптеры. Наличие большого количества ключей  позволяет пользователю  создать максимально удобную для него конфигурацию системы. Можно установить, что именно нужно контролировать: файлы с заданными расширениями,загрузочные сектора, наличие сбойных кластеров, новые файлы на наличиеStealth-вирусов, файлы из списка неизменяемых и т.д. По своему желаниюпользователь может запретить проверять некоторые каталоги (это нужно, есликаталоги являются рабочими и  в них всё время происходят изменения).  Имеется возможность  изменять способ доступа к диску (BIOS, Int13h или Int25h/26h),редактировать список расширений проверяемых файлов, а также  назначить каждомурасширению собственный вьюер, с  помощью  которого  будут просматриваться файлыс этим расширением. Также  имеются  различные  прибомбасы  типа  обновления вместе  с  таблицами  и  файла TREEINFO.NCD (этот файл реализовываетвозможность быстрого  перехода по дереву каталогов в программе NortonCommander). В  традициях современного программного обеспечения реализована работа  с мышью. Как и вся продукция фирмы «ДиалогНаука»,  ADinf поддерживает программно-аппаратный комплекс Sheriff.

При инсталляции ADinf в систему  имеется  возможность  изменить имяосновного файла ADINF.EXE и имя таблиц,  при  этом  пользователь может задатьлюбое имя. Это очень полезная функция, так  как в последнее время появилосьмножество  вирусов,  «охотящихся»  за антивирусами (например, естьвирус, который изменяет программу Aidstest так, что она вместо заставки фирмы«ДиалогНаука» пишет: «Лозинский — пень»), в том числе и заADinf.

Полезной функцией является возможность работы с DOS, не выходя изпрограммы. Это бывает полезно, когда нужно  запустить  внешний антивирус длялечения файла, если  у  пользователя  нет  лечащего блока ADinf Cure Module.

Ещё одна интересная функция — запрещение работы с системой приобнаружении изменений на диске. Эта  функция  полезна,  когда  за терминаламиработают пользователи, не имеющие ещё большого  опыта в общении с компьютером.Такие пользователи, по незнанию или по халатности, могут проигнорироватьсообщение ADinf и продолжить работу как ни в чём не бывало, что может привестик  тяжёлым  последствиям. Если же установлен  ключ  -Stop  в  строке  вызова Adinf AUTOEXEC.BAT, то при обнаружении  изменений  на  диске  программапотребует позвать системного программиста, обслуживающего данный терминал, аесли пользователь нажмет ESC или  ENTER,  то  система перезагрузится и всеповторится снова. И всё же эта функция  продумана не до конца, так какпродолжение работы возможно при нажатии клавиши F10. Ведь большинствопользователей,  даже  если  они впервые сели за компьютер, даже при  минимальном на  то  желании смогут продолжить работу, воспользовавшись «правиломнаучного тыка», то есть, нажав на все клавиши подряд. Для повышениянадёжности защиты от таких пользователей следовало бы ввести хотя бы какой-нибудь простенький пароль.

Принцип работы ADinf основан на  сохранении  в  таблице  копииMASTER-BOOT и BOOT секторов, список  номеров  сбойных  кластеров, схему деревакаталогов и информацию обо всех контролируемых файлах. Кроме того, программазапоминает и при каждом запуске  проверяет, не изменился ли доступный DOS объемоперативной памяти  (что  бывает при заражении большинством загрузочныхвирусов), количество установленных винчестеров, таблицы параметров винчестера вобласти переменных BIOS.

При первом запуске программа запоминает объем оперативной памяти, находити запоминает адрес обработчика прерывания Int 13h в BIOS, который будетиспользоваться при всех  последующих  проверках, и строит таблицы дляпроверяемых дисков. При этом проверяется, показывал ли вектор прерывания 13h вBIOS перед загрузкой DOS.

При последующих запусках ADinf проверяет объем оперативной памяти,доступной DOS, переменные BIOS, загрузочные  сектора,  список номеров сбойныхкластеров (так как некоторые вирусы,  записавшись в кластер, помечают его, каксбойный, чтобы  их  не  затёрли другие данные, а также не обнаружилипримитивные  антивирусы).  К тому же антивирус ищет вновь созданные иуничтоженные  подкаталоги, новые, удаленные, переименованные, перемещённые и изменившиеся файлы (проверяется изменение длины и контрольной суммы).  ЕслиADinf обнаружит, что, изменился файл из списка неизменяемых,  либо в файлепроизошли изменения без изменения даты и времени, а также наличие у файла странной  даты  (число  больше  31,  месяц больше 12 или год больше текущего)или времени (минут больше  59, часов больше 23 или секунд больше 59), то онвыдаст  предупреждение о том, что возможно заражение вирусом.

Если обнаружены изменения BOOT-секторов,  то  можно  в  режиме диалогасравнить системные таблицы, которые были до и после изменения, и по желаниювосстановить прежний сектор. После восстановления измененный сектор сохраняетсяв файле на диске  для  последующего анализа. Новые сбойные кластеры (вернееинформация о  них в FAT) могут появиться после запуска какой-либо утилиты,  лечащейдиск (например NDD) или благодаря действиям  вируса.  Если  Adinf выдалсообщение, а пользователь не запускал никаких подобных утилит, то, скорее всегов компьютер забрался  вирус.  При  получении такого сообщения следуетпродолжить проверку,  внимательно  следя за всеми сообщениями об измененияхфайлов и загрузочных секторов. Если в системе действительно вирус, то такиесообщения не  заставят себя долго ждать (ведь если все тело вируса будетнаходиться в «сбойном» кластере, ему никогда не передастсяуправление).

После проверки ADinf выдаёт сводную  таблицу,  сообщающую  об измененияхна диске. По таблице можно  перемещаться стрелками и просматривать подробнуюинформацию, нажав ENTER  на  интересующем пункте. Существует возможностьперехода к  любому  пункту  с  помощью «быстрых» клавиш. Изменившиесяфайлы  можно  просмотреть  в классическом режиме (шестнадцатиричный дамп /ASCII-коды)  с  помощью встроенного вьюера, который читает диск через  BIOS. Можно также воспользоваться внешним вьюером, предварительно указав к нему путь.Подключив внешний редактор, можно отредактировать  изменившийся файл.

Не совсем привычно выглядит форма, в которой  ADinf  сообщает обобнаруженных подозрительных изменениях: вместо выдачи  сообщения о конкретныхизменениях он выводит красное  окно  со  списком всех возможных и помечаетгалочкой пункты, соответствующие  изменениям, произошедшим в настоящий момент.Если после получения такого сообщения нажать ESC, то  программа  запросит  о дальнейших действиях: обновить информацию о диске, не обновлять  её,  лечить(при наличии лечащего модуля ADinf Cure Module) или записать протокол. Длялечения  можно  воспользоваться  внешним  антивирусом, загрузив его из окнаработы с DOS,  которое  вызывается  комбинацией клавиш ALT+V.

Если изменения не относятся к разряду подозрительных, то после выдачитаблицы изменений можно нажать ESC. При этом  программа спросит, нужно лиобновлять данные о диске в таблицах или не нужно, а также нужно ли создаватьфайл в отчетом о проделанной работе. После выбора одного из пунктов программа выполняет  затребованное действие и завершает свою работу.

Сводная таблица описанных антивирусных программ ИМЯ

AIDSTEST

DR.WEB

AVSP

ADINF

MSAV

Версия 1723 4.0 2.95 12.00 DOS 7.10

 Т  И  П

Фильтр - - + - - Доктор + + + - + Ревизор - - + + + Детектор + + + - + Колличество вирусов 9000 7100 276  * - 2546 Поддержка мыши - + + + + Оконный интерфейс - + + + + Обнаружение Stealth-вирусов - - + + + Обнаружение неиз-вестных вирусов - + + + + Время работы при задании соответст-вующих режимов  ** /g  /s /a  /s2  /v  /o  /u Качество, ***/все файлы По умолчанию По умолча-нию с кон-трольными суммами 2,5 мин 23 мин

4 мин/

11 мин

1 мин 1 мин 20 сек

Сноски таблицы:

* — Имеется возможность самостоятельного пополненияданных о вирусах.

** — Данные о быстродействии приведены для машины486DX2-66 с жестким диском 270 MB,                     заполненным на 97%.

*** — Файлы с расширениями *.com, *.exe, *.ov?, *.bin,*.sys.

Заключение

На мой взгляд, из всех отечественных программ, рассмотренных здесь, ADinfявляется самой полной, логически завершенной антивирусной системой. Остальныепрограммы находятся, как бы  в  стадии развития. Программы-фаги, в принципе, немогут  достигнуть  логического завершения, так как должны развиваться,  чтобы противостоять новым вирусам, хотя Dr.Web уже пошел по пути усовершенствованияинтерфейса. Высок потенциал у программы AVSP,  которая  при соответствующей  доработке    (упрощении    алгоритмов    поиска Stealth-вирусов, введениинизкоуровневой защиты, улучшении интерфейса) может занять высокие позиции всреде антивирусов.

Ни один тип антивирусных программ по отдельности  не дает  полной  защитыот вирусов. Лучшей стратегией защиты от вирусов является  многоуровневая,«эшелонированная» оборона. Средствам разведки в «обороне»от вирусов соответствуют  программы-детекторы, позволяющие  проверять  вновь полученное  программное  обеспечение  на  наличие вирусов.    На переднем краеобороны находятся программы-фильтры. Эти программы могут первыми сообщить оработе вируса и предотвратить заражение программ и дисков. Второй эшелонобороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Самый глубокий  эшелон обороны — это средства  разграничения  доступа. Они непозволяют вирусам и неверно работающим программам, даже если они проникли вкомпьютер, испортить важные данные.

В «стратегическом резерве» находятся архивные копии информации.Это позволяет  восстановить информацию при её повреждении.  Это неформальноеописание позволяет лучше понять методику применения антивирусных средств.