26176-1 (663095), страница 3
Текст из файла (страница 3)
Конечно,приведенный список не исчерпывает всего многообразия антивирусных программ, хотя и охватывает основые их разно - видности. Каждая из антивирусных программ подобна узкому специалисту в определенной области, поэтому оптимальной тактикой является комплексное применение нескольких типов ан - тивирусных средств.
А теперь немного о некоторых антивирусах.
AIDSTEST
В нашей стране, как уже было сказано выше, особую популярность приобрели антивирусные программы, совмещающие в себе функции детекторов и докторов. Самой известной из них явля - ется программа AIDSTEST Д.Н.Лозинского. В России практически на каждом IBM-совместимом персональном компьютере есть одна из версий этой программы. Одна из последняя версия обнаруживает более 1100 вирусов.
Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой ( например в Волков Коммандере для этих целей есть специальный пункт в меню).
При запуске Aidstest проверяет себя оперативную память на наличие известных ему вирусов и обезвреживает их. При этом парализуются только функции вируса, связанные с размножением,
а другие побочные эффекты могут оставаться. Поэтому прог - рамма после окончания обезвреживания вируса в памяти выдает запрос о перезагрузке. Следует обязательно последовать этому совету, если оператор ПЭВМ не является системным програм - мистом, занимающимся изучением свойств вирусов. При чем следует перезагрузиться кнопкой RESET, так как при "теплой пе - резагрузке" некоторые вирусы могут сохраняться. В добавок, лучше запустить машину и Aidstest с защищенной от записи дискеты, так как при запуске с зараженного диска вирус может записаться в память резидентом и препятствовать лечению.
Aidstest тестирует свое тело на наличие известных вирусов, а также по искажениям в своем коде судит о своем заражении неизвестным вирусом. При этом возможны случаи ложной тревоги,
например при сжатии антивируса упаковщиком.
Программа не имеет графического интерфейса и режимы ее работы задаются с помощью ключей.Указав путь, можно проверить не весь диск, а отдельный подкаталог.
Как показала практика, самый оптимальный режим для ежедневной работы задается ключами /g (проверка всех файлов, а не только с расширением EXE,COM,SYS) и /s (медленная проверка). Увеличивание времени при таких опциях практически не ощутимо (полностью "забитый" жесткий диск емкостью 270 Мегобайт на машине с процессором 486DX2 тестируется меньше минуты), зато вероятность обнаружения на порядок выше.
DOCTOR WEB
В последнее время стремительно растет популярность другой антивирусной программы - Doctor Web. Dr.Web также, как и Aidstest относится к классу детекторов - докторов, но в от - личие от последнего имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы,стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов, которые при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса. Dr.Web можно назвать антивирусом нового поколения по сравнению с Aidstest и его аналогами. В пользу этой программы говорит тот факт, что крупную лицензию ( на 2000 компьютеров) приобрело Главное управление информацион - ных ресурсов при Президенте РФ, а второй по величине покупатель "паутины" - "Инкомбанк".
Управление режимами также как и в Aidtest осуществляется с помощь ключей. Пользователь может указать программе тести - ровать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память,либо, вдобавок, ещe и расширенную (указывается с помощью ключа /H ).
AVSP
(Anti-Virus Software Protection)
Интересным программным продуктом является антивирус AVSP. Эта программа сочетает в себе и детектор,и доктор,и ревизор, и даже имеет некоторые функции резидентного фильтра( запрет записи в файлы с атрибутом READ ONLY).Антивирус может лечить как известные так и неизвестные вирусы, при чем о способе лечения последних программе может сообщить сам пользователь. К тому же AVSP может лечить самомодифицирующиеся и стелс-вирусы (невидимки). В состав пакета AVSP входит также резид - ентный драйвер AVSP.SYS, который позволяет обнаруживать большинство невидимых вирусов, дезактивировать вирусы на время своей работы, а также запрещает изменять READ ONLY файлы. ONLY будет снят. Поставить файлы под защиту можно клавишей F7. Еще одна функция AVSP.SYS - отключение на время работы AVSP.EXE резидентных вирусов, правда вместе с вирусами драйвер отключает и некоторые другие резидентные программы. Конечно, полностью все возможности программы реализуются в руках человека, знакомого с ассемблером и системным программированием. В AVSP имеется возможность просмат - ривать файлы в разных форматах. При входе в режим просмотра на экран выводятся две колонки: слева содержимое просматри - ваемого файла в виде шестнадцатиричных кодов, а справа - в виде ASCII-кодов. Кроме того выводится полезная системная информация, которая поможет при написании процедуры удаления вируса. Передвигая курсор,можно перейти на любой адрес, есть также функции поиска шаблонов, сравнения файлов. Можно установить, в каком формате будет просматриваться, например, заголовок: как у EXE-файла, SYS-файла или в формате загру - зочного сектора. При этом хорошо реализован сам просмотр заголовка: его системные ячейки представлены в виде таблицы: слева значение ячейки, справа - пояснение.
Еще одной полезной функцией является встроенный дизассемблер. С его помощью можно разобраться есть ли в файле вирус или при проверке диска произошло ложное срабатывание AVSP. Кроме того можно попытаться выяснить способ заражения, принцип действия вируса, а также место, куда он "спрятал" за - мещeнные байты файла (если мы имеем дело с таким типом вируса). Все это позволит написать процедуру удаления вируса и восстановить запорченные файлы. Для полного счастья нехва - тает только трассировщика,хотя в неумелых руках такая функция может привести к заражению ещe большего колличества данных. Еще одна полезная функция - выдача наглядной карты изменений. Особенно ясно я это понял, когда у меня возникло подозрение в отношении одного из файлов (который не должен был, вроде бы, меняться). Карта изменений позволяет оценить, соот - ветствуют ли эти изменения вирусу или нет, а также сузить область поиска тела вируса при дизассемблировании. При еe построении красный прямоугольник используется для изображе - ния изменeнного блока, синий - неизменeнного, а прозрачный -
- нового.
Если есть подозрение, что в систему забрался Stealth-вирус, можно запустить AVSP с параметром /D с жесткого диска, а затем загрузиться с чистой системной дискеты и запустить AVSP без параметров. Если результаты проверки контрольных сумм отличаются в обоих случаях, то подозрения оправданы. В программе AVSP есть два алгоритма нейтрализации "невидимок" и оба они работают только при наличии активного вируса в памяти.
Microsoft Antivirus
В состав современных версий MS-DOS (например 6.22) входит антивирусная программа Microsoft Antivirus (MSAV). Этот ан - тивирус может работать в режимах детектора - доктора и ревизора. MSAV имеет дружественный интерфейс в стиле MS-Windows. При запуске проверки диска (как в режиме удале - ния, так и без него) программа сначала сканирует память на наличие известных ей вирусов. При этом выводится индикация проделанной работы в виде цветной полоски и процента выпол - ненной работы. После сканирования памяти MSAV принимается за проверку непосредственно диска.
ADINF
(Advanced Diskinfoscope)
ADinf относится к классу программ-ревизоров. Антивирус имеет высокую скорость работы, способен с успехом противостоять вирусам, находящимся в памяти. Он позволяет контролировать диск, читая его по секторам через BIOS и не используя сис - темные прерывания DOS, которые может перехватить вирус. Программа ADinf получила первый приз на Втором Всесоюзном конкурсе антивирусных программ в 1990 году, а также второй приз на конкурсе Borland Contest'93.
В отличие от AVSP, в котором пользователю приходится самому анализировать, заражена ли машина стелс-вирусом, загружаясь сначала с винчестера, а потом с эталонной дискеты, в ADinf эта операция происходит автоматически. Это происходит благодаря оригинальному алгоритму противодействия этим вирусам- -"невидимкам", суть которого заключается в том, что сначала диск читается непосредственно через BIOS,а потом - с помощью DOS. Если информация будет отличаться,то в системе стелс-вирус. ADinf был единственным антивирусом, который летом 1991 года обнаружил вирус DIR, построенный на принципиально новом способе заражения и маскировки.Для лечения заражeнных файлов применяется модуль ADinf Cure Module, не входящий в пакет ADinf и поставляющийся отдельно. Принцип работы модуля -
- сохранение небольшой базы данных, описывающей контролируемые файлы. Работая совместно, эти программы позволяют обна - ружить и удалить около 97% файловых вирусов и 100% вирусов в загрузочном секторе.
В отличие от других антивирусов Advansed Diskinfoscope не требует загрузки с эталонной, защищeнной от записи дискеты. При загрузке с винчестера надежность защиты не уменьшается. ADinf имеет хорошо выполненный дружественный интерфейс, который в отличие от AVSP реализован не в текстовом, а в графическом режиме. Программа работает непосредственно с видео-памятью, минуя BIOS, при этом поддерживаются все гра - фические адаптеры. Наличие большого колличества ключей поз - воляет пользователю создать максимально удобную для него конфигурацию системы. Можно установить, что именно нужно контролировать: файлы с заданными расширениями, загрузочные сектора, наличие сбойных кластеров, новые файлы на наличие стелс-вирусов, файлы из списка неизменяемых и т.д. По своему желанию пользователь может запретить проверять некоторые каталоги (это нужно, если каталоги являются рабочими и в них всe время происходят изменения). Имеется возможность изменять способ доступа к диску (BIOS, Int13h или Int25h/26h), редактировать список расширений проверяемых файлов, а также назначить каждому расширению собственный вьюер, с помощью которого будут просматриваться файлы с этим расширением.
При инсталяции ADinf в систему имеется возможность изменить имя основного файла ADINF.EXE и имя таблиц, при этом пользователь может задать любое имя. Это очень полезная функция, так как в последнее время появилось множество вирусов, "охотящихся" за антивирусами (например, есть вирус, который изменяет программу Aidstest так,что она вместо заставки фирмы "ДиалогНаука" пишет: "Лозинский - пень"), в том числе и за ADinf.
Полезной функцией является возможность работы с DOS не выходя из программы. Это бывает полезно, когда нужно запустить внешний антивирус для лечения файла, если у пользователя нет лечащего блока ADinf Cure Module.
Еще одна интересная функция - запрещение работы с системой при обнаружении изменений на диске. Эта функция полезна, когда за терминалами работают пользователи, не имеющие ещe большого опыта в общении с компьютером.Такие пользователи по незнанию или по халатности могут проигнорировать сообщение ADinf и продолжить работу как ни в чeм не бывало, что может привести к тяжeлым последствиям. Если же установлен ключ -Stop в строке вызова ADinf AUTOEXEC.BAT, то при обнаружении изменений на диске программа потребует позвать системного программиста, обслуживающего данный терминал, а если пользователь нажмет ESC или ENTER, то система перезагрузится и все повторится снова.И всe же эта функция продумана не до конца, так как продолжение работы возможно при нажатии клавиши F10. Ведь большинство пользователей, даже если они впервые сели за компьютер, даже при минимальном на то желании смогут продолжить работу, воспользовавшись "правилом научного тыка", то есть нажав на все клавиши подряд. Для повышения надeжности защиты от таких пользователей следовало бы ввести хотя бы какой-нибудь простенький пароль.
Принцип работы ADinf основан на сохранении в таблице копии MASTER-BOOT и BOOT секторов, список номеров сбойных класте - ров, схему дерева каталогов и информацию о всех контролируемых файлах. Кроме того, программа запоминает и при каждом запуске проверяет, не изменился ли доступный DOS объем оперативной памяти (что бывает при заражении большинством загрузочных вирусов), количество установленных винчестеров, таблицы параметров винчестера в области переменных BIOS.
При первом запуске программа запоминает объем оперативной памяти, находит и запоминает адрес обработчика прерывания Int 13h в BIOS, который будет использоваться при всех последующих проверках, и строит таблицы для проверяемых дисков. При этом проверяется, показывал ли вектор прерывания 13h в BIOS перед загрузкой DOS. При последующих запусках ADinf проверяет объем оперативной памяти, доступной DOS, переменные BIOS, загрузочные сектора, список номеров сбойных кластеров (так как некоторые вирусы, записавшись в кластер, помечают его, как сбойный,чтобы их не затeрли другие данные, а также не обнаружили примитивные антивирусы). К тому же антивирус ищет вновь созданные и уничтоженные подкаталоги,новые, удаленные, переименованные, перемещeнные и изме - нившиеся файлы ( проверяется изменение длины и контрольной суммы ). Если ADinf обнаружит, что, изменился файл из списка неизменяемых, либо в файле произошли изменился без изменения даты и времени, а также наличие у файла cтранной даты ( число больше 31, месяц больше 12 или год больше текущего ) или времени ( минут больше 59, часов больше 23 или секунд больше 59 ), то он выдаст предупреждение о том, что возможно заражение вирусом.
Если обнаружены изменения BOOT-секторов, то можно в режиме диалога сравнить системные таблицы, которые были до и после изменения, и по желанию восстановить прежний сектор. После восстановления измененный сектор сохраняется в файле на диске для последующего анализа. Новые сбойные кластеры (вернее информация о них в FAT) могут появиться после запуска какой-либо утилиты, лечащей диск ( например NDD ) или благодаря действиям вируса. Если ADinf выдал сообщение,
а пользователь не запускал никаких подобных утилит, то скорее всего в компьютер забрался вирус. При получении такого сооб - щения следует продолжить проверку, внимательно следя за всеми сообщениями об изменениях файлов и загрузочных секторов. Если в системе действительно вирус, то такие сообщения не заставят себя долго ждать(ведь если все тело вируса будет находиться в "сбойном" кластере, ему никогда не передастся управление).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
