Aidstest...............................................стр.3
Doctor Web.............................................стр.4
AVSP...................................................стр.6
Microsoft Antivirus...................................стр.12
ADinf.................................................стр.13
Сводная таблица антивирусных программ.................стр.16
Послесловие...........................................стр.17
Список используемой литературы........................стр.18
ВВЕДЕНИЕ
При работе с современным персональным компьютером пользовате-
ля (а особенно начинающего) может подстерегать множество неприят-
ностей: потеря данных, зависание системы, выход из строя от-
дельных частей компьютера и другие. Одной из причин этих проблем
наряду с ошибками в программном обеспечении) и неумелыми дей-
ствиями самого оператора ПЭВМ могут быть проникшие в систему ком-
пьютерные вирусы. Эти программы подобно биологическим вирусам
размножаются,записываясь в системные области диска или приписы-
ваясь к файлам и производят различные нежелательные действия, ко-
торые , зачастую, имеют катастрофические последствия. Чтобы не
стать жертвой этой напасти, каждому пользователю следует хорошо
знать принципы защиты от компьютерных вирусов.
С давних времён известно, что к любому яду рано или поздно
можно найти противоядие. Таким противоядием в компьютерном мире
стали программы, называемые антивирусными. Данные программы мож-
но классифицировать по пяти основным группам: фильтры, детекторы,
ревизоры, доктора и вакцинаторы.
Антивирусы-фильтры - это резидентные программы, которые опо-
вещают пользователя о всех попытках какой-либо программы запи-
саться на диск, а уж тем более отформатировать его , а также о
других подозрительных действиях (например о попытках изменить ус-
тановки CMOS). При этом выводится запрос о разрешении или запре-
щении данного действия. Принцип работы этих программ основан на
перехвате соответствующих векторов прерываний. К преимуществу
программ этого класса по сравнению с программами-детекторами мож-
но отнести универсальность по отношению как к известным,так и
неизвестным вирусам, тогда как детекторы пишутся под конкрет-
ные,известные на данный момент программисту виды. Это особенно
актуально сейчас, когда появилось множество вирусов-мутантов,не
имеющих постоянного кода. Однако, программы-фильтры не могут от-
слеживать вирусы, обращающиеся непосредственно к BIOS, а также
BOOT-вирусы, активизирующиеся ещё до запуска антивируса, в на-
чальной стадии загрузки DOS, К недостаткам также можно отнести
частую выдачу запросов на осуществление какой-либо операции: от-
веты на вопросы отнимают у пользователя много времени и дей-
ствуют ему на нервы. При установке некоторых антивиру-
сов-фильтров могут возникать конфликты с другими резидентными
программами, использующими те же прерывания, которые просто пе-
рестают работать.
Наибольшее распространение в нашей стране получили програм-
мы-детекторы,а вернее программы, объединяющие в себе детектор и
доктор. Наиболее известные представители этого класса - Aidstest,
Doctor Web,MicroSoft AntiVirus далее будут рассмотрены подробнее.
Антивирусы-детекторы расчитаны на конкретные вирусы и основаны на
сравнении последовательности кодов содержащихся в теле вируса с
кодами проверяемых программ.Такие программы нужно регулярно об-
новлять, так как они быстро устаревают и не могут обнаруживать
новые виды вирусов.
Ревизоры - программы, которые анализируют текущее состояние
файлов и системных областей диска и сравнивают его с информацией,
сохранённой ранее в одном из файлов данных ревизора. При этом
проверяется состояние BOOT-сектора, таблицы FAT, а также длина
файлов, их время создания, атрибуты, контрольная сумма. Анализи-
руя сообщения программы-ревизора, пользователь может решить, чем
вызваны изменения: вирусом или нет. При выдаче такого рода сооб-
щений не следует предаваться панике, так как причиной изменений,
например, длины программы может быть вовсе и не вирус. Так был
случай, когда один начинающий пользователь не на шутку перепугал-
ся, когда антивирус AVSP выдал ему сообщение об изменениях в фай-
ле CONFIG.SYS. Оказалось, что до этого на компьютер была осущес-
твлена инсталяция менеджера памяти QEMM, который пишет свой драй-
вер в CONFIG.SYS.
К последней группе относятся самые неэффективные антивирусы -
вакцинаторы. Они записывают в вакцинируемую программу признаки
конкретного вируса так, что вирус считает ее уже зарaженной.
AIDSTEST
В нашей стране, как уже было сказано выше, особую популяр-
ность приобрели антивирусные программы, совмещающие в себе фун-
кции детекторов и докторов. Самой известной из них является прог-
рамма AIDSTEST Д.Н. Лозинского. В России практически на каждом
IBM-совместимом персональном компьютере есть одна из версий этой
программы. Одна из последняя версия обнаруживает более 1100 виру-
сов.
Aidstest для своего нормального функционирования требует,
чтобы в памяти не было резидентных антивирусов, блокирующих за-
пись в программные файлы, поэтому их следует выгрузить, либо ука-
зав опцию выгрузки самой резидентной программе, либо воспользо-
ваться соответствующей утилитой ( например в Волков Коммандере
для этих целей есть специальный пункт в меню).
При запуске Aidstest проверяет себя оперативную память на на-
личие известных ему вирусов и обезвреживает их. При этом парали-
зуются только функции вируса, связанные с размножением, а другие
побочные эффекты могут оставаться. Поэтому программа после окон-
чания обезвреживания вируса в памяти выдает запрос о перезагруз-
ке. Следует обязательно последовать этому совету, если оператор
ПЭВМ не является системным программистом, занимающимся изучением
свойств вирусов. При чем следует перезагрузиться кнопкой RESET,
так как при "теплой перезагрузке" некоторые вирусы могут сохра-
няться. В добавок, лучше запустить машину и Aidstest с за-
щищённой от записи дискеты, так как при запуске с зараженного
диска вирус может записаться в память резидентом и препятство-
вать лечению.
Aidstest тестирует свое тело на наличие известных вирусов, а
также по искажениям в своем коде судит о своем заражении неизвес-
тным вирусом. При возможны случаи ложной тревоги, например при
сжатии антивируса упаковщиком.
Программа не имеет графического интерфейса и режимы ее рабо-
ты задаются с помощью ключей. Указав путь, можно проверить не
весь диск, а отдельный подкаталог.
Как показала практика, самый оптимальный режим для ежеднев-
ной работы задается ключами /g (проверка всех файлов, а не только
с расширением EXE,COM,SYS) и /s ( медленная проверка). Увеличива-
ние времени при таких опциях практически не ощутимо ( полностью
"забитый" жесткий диск емкостью 270 Мегобайт на машине с процес-
сором 486DX2 тестируется меньше минуты), зато вероятность обнару-
жения на порядок выше.
При обычном тестировании не следует ставить ключ /f ( исправ-
ление зараженных программ и стирание не подлежащих восстановле-
нию), даже с ключем /q ( выдавать запрос об удалении файла), пос-
кольку любая программа, в том числе и антивирусная, не застрахо-
вана от ошибок. Ключ /f следует использовать тогда, когда
Aidstest, а также другие антивирусы указывают на наличие вируса в
каком-либо файле. При этом следует перезапустить компьютер с за-
щищённой от записи дискеты, так как система может быть заражена
резидентным вирусом, и тогда лечение будет неэффективным, а то и
просто опасным. При обнаружении вируса в ценном файле следует пе-
реписать его на дискету, а ещё лучше - на электронный, диск и там
попробывать вылечить с помощью указания Aidstest-у опции /f. Если
попытка не увенчается успехом, то надо удалить все зараженные ко-
пии файла и проверить диск снова. Если в файле содержится важная
информация, которую стирать жалко, то можно сархивировать файл и
подождать выхода новой версии Aidstest или другого антивируса,
способной лечить этот тип вируса. Для ускорения процесса можно
направить зараженный файл в качестве образца Лозинскому.
Для создания в файле протокола работы программы Aidstest слу-
жит ключ /p. Протокол бывает нужен, когда, например, пользова-
тель не успевает просмотреть имена зараженных файлов. Для поддер-
жки антивирусного программно - аппаратного комплекса Sheriff (да-
лее будет рассмотрен подробнее), служит ключ /z.
DOCTOR WEB
В последнее время стремительно растет популярность другой ан-
тивирусной программы - Doctor Web. Dr.Web также, как и Aidstest
относится к классу детекторов - докторов, но в отличие от послед-
него имеет так называемый "эвристический анализатор" - алгоритм,
позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина",
как переводится с английского название программы, стала ответом
отечественных программистов на нашествие самомодифицирующихся ви-
русов-мутантов, которые при размножении модифицируют свое тело
так, что не остается ни одной характерной цепочки байт, присут-
ствовавшей в исходной версии вируса. Dr.Web можно назвать антиви-
русом нового поколения по сравнению с Aidstest и его аналогами. В
пользу этой программы говорит тот факт, что крупную лицензию ( на
2000 компьютеров) приобрело Главное управление информационных ре-
сурсов при Президенте РФ, а второй по величине покупатель "паути-
ны" - "Инкомбанк".
Управление режимами также как и в Aidtest осуществляется с
помощью ключей. Пользователь может указать программе тестировать
как весь диск, так и отдельные подкаталоги или группы файлов, ли-
бо же отказаться от проверки дисков и тестировать только опера-
тивную память. В свою очередь можно тестировать либо только базо-
вую память, либо, вдобавок, ещё и расширенную (указывается с по-
мощью ключа /H ). Как и Aidstest Doctor Web может создавать от-
чет о работе (ключ /P), загружать знакогенератор Кириллицы (ключ
/R ), поддерживает работу с программно-аппаратным комплексом
Sheriff ( ключ /Z ).
Но , конечно, главной особенностью "Лечебной паутины" являет-
ся наличие эвристического анализатора, который подключается клю-
чем /S. Баланса между скоростью и качеством можно добиться, ука-
зав ключу уровень эвристического анализа: 0 - минимальный, 1 -
оптимальный, 2 - максимальный; при этом, естественно, скорость
уменьшается пропорционально увеличению качества. К тому же Dr.Web
позволяет тестировать файлы, вакцинированные CPAV, а также упако-
ванные LZEXE, PKLITE, DIET. Для этого следует указать ключ /U
(при этом распаковка файлов будет произведена на текущем устрой-
стве) или /Uдиск: (где диск: - устройство, на котором будет
производиться распаковка), если дискета, с которой запущен Doctor
Web защищена от записи. Многие программы упакованы таким спосо-
бом, хотя пользователь может и не подозревать об этом. Если ключ
/U не установлен, то Doctor Web может пропустить вирус, забрав-
шийся в запакованную программу.
Важной функцией является контроль заражения тестируемых фай-
лов резидентным вирусом( ключ /V ). При сканировании памяти нет
стопроцентной гарантии, что "Лечебная паутина" обнаружит все ви-
русы, находящиеся там. Так вот, при задании функции /V Dr.Web пы-
тается воспрепятствовать оставшимся резидентным вирусам заразить
тестируемые файлы.
Тестирование винчестера Dr.Web-ом занимает на много больше
времени, чем Aidstest-ом, поэтому не каждый пользователь может
себе позволить тратить столько времени на ежедневную проверку
всего жесткого диска. Таким пользователям можно посоветовать бо-
лее тщательно (с опцией /S2) проверять принесенные извне дискеты.
Если информация на дискете находится в архиве ( а в последнее
время программы и данные переносятся с машины на машину только в
таком виде; даже фирмы-производители программного обеспечения,
например Borland, пакуют свою продукцию ), следует распаковать
его в отдельный каталог на жестком диске и сразу же, не отклады-
вая, запустить Dr.Web, задав ему в качестве параметра вместо име-
ни диска полный путь к этому подкаталогу. И все же нужно хотя бы
раз в две недели производить полную проверку "винчестера" на ви-
русы с заданием максимального уровня эвристического анализа.
Так же как и в случае с Aidstest при начальном тестировании
не стоит разрешать программе лечить файлы, в которых она обнару-
жит вирус, так как нельзя исключить, что последовательность байт,
принятая в антивирусе за шаблон может встретиться в здоровой
программе. Если по завершении тестирования Dr.Web выдаст сообще-
ния о том, что нашел вирусы, нужно запустить его с опцией /P (ес-
ли эта опция не была указана) для того, чтобы посмотреть, какой
файл заражен. После этого нужно скопировать файл на дискету или
на электронный диск и попытаться удалить, указав "Лечебной паути-
не" ключ /F. При неудачном лечении следует поступить так же, как
в аналогичной ситуации, описаной выше для программы Aidstest.
Для ежедневной работы с дискетами можно посоветовать следую-
щую конфигурацию: web <имя диска>/A/S2/V/O/U/H , где /A - прове-
рять все файлы, /S2 - эвристический анализатор, /V - проверять
заражение резидентным вирусом, /O - выводить сообщение OK для не-
зараженных файлов, /U - проверять запакованные ( но не архивиро-
ванные!) файлы, /H - тестировать верхнюю память.
Чтобы все время не набирать одну и ту же последовательность
ключей, можно включить в меню пользователя (USER MENU) оболочки
NORTON COMMANDER ( или ДОС-НОВИГАТОР, если используется послед-
няя) пункты вызова Dr.Web и Aidstest, либо создать командный
файл. Это не только сэкономит время, но и позволит уменьшить
объем переменных окружения DOS, так как теперь не нужно будет
указывать в команде PATH файла AUTOEXEC.BAT подкаталог с антиви-
русными программами (некоторые делают это для оперативного обра-
щения к антивирусам).
AVSP
(Anti-Virus Software Protection)
Интересным программным продуктом является антивирус AVSP. Эта
программа сочетает в себе и детектор, и доктор, и ревизор, и да-
же имеет некоторые функции резидентного фильтра( запрет записи в
файлы с атрибутом READ ONLY). Антивирус может лечить как извес-
тные так и неизвестные вирусы, при чем о способе лечения послед-
них программе может сообщить сам пользователь. К тому же AVSP мо-
жет лечить самомодифицирующиеся и Stealth-вирусы (невидимки).
При запуске AVSP появляется система окон с меню и информация о
состоянии программы. Очень удобна контекстная система подсказок,
которая дает пояснения к каждому пункту меню. Она вызывается
классически, клавишей F1, и меняется при переходе от пункта к
пункту. Так же не маловажным достоинством в наш век Windows-ов и
"Полуосей"( OS/2 ) является поддержка мыши. Существенный недоста-
ток интерфейса AVSP - отсутствие возможности выбора пунктов меню
нажатием клавиши с соответствующей буквой, хотя это несколько
компенсируется возможностью выбрать пункт, нажав ALT и цифру,
соответствующую номеру этого пункта.
В состав пакета AVSP входит также резидентный драйвер AVSP.SYS
который позволяет обнаруживать большинство невидимых вирусов(кро-
ме вирусов типа Ghost-1963 или DIR), дезактивировать вирусы на
время своей работы, а также запрещает изменять READ ONLY файлы.
Устанавливается он классически, в файле CONFIG.SYS. Размещать
строку в файле желательно ближе к началу, так как в драйверах то-
же может содержаться вирус, и чем больше их запустится до начала
функционирования AVSP.SYS, тем выше вероятность, что этот драй-
вер окажется бесполезным. AVSP.SYS можно разместить сразу же за
драйверами менеджеров верхней памяти (HIMEM,EMM386,QEMM и др.).
Для подключения защиты READ ONLY файлов в AUTOEXEC.BAT следует
включить строку вызывающую файл AVSPMONI.EXE, так же входящий в
пакет, с параметром ON (естественно эта строка должна быть также
одной из первых).Теперь при попытке снять атрибут или записаться
в READ ONLY файл прозвучит длинный сигнал и операция не будет вы-
полнена. Снять защиту можно либо запустив AVSPMONI.EXE c парамет-
ром OFF, либо в основной программе AVSP.EXE. Для этого нужно вой-
ти в пункт "Исследование изменений в файлах" и отметить нужные
файлы клавишей "пробел" (можно также отметить группу файлов кла-
вишей "+"). После этого нужно нажать клавишу F8, и атрибут READ
ONLY будет снят. Поставить файлы под защиту можно клавишей F7.
Ещё одна функция AVSP.SYS - отключение на время работы
AVSP.EXE резидентных вирусов, правда вместе с вирусами драйвер
отключает и некоторые другие резидентные программы. Для проверки
этого факта мною были загружены две программы-пародии на вирусы:
одна переворачивает экран, а другая превращает в бегущие волно-
вые линии вертикальные прямые (например вертикальные образующие
панелей программы Norton Commander). При запуске AVSP вернул эк-
ран в нормальное состояние, но "волны" на боках рамок остались,
правда они и не перемещались, а стояли на месте. При вызове дру-
гого пункта меню боковые прямые его рамки также превращались в
волнистые, хотя и неподвижные. Из этого можно сделать вывод, что
AVSP не полностью отключает резидентные программы. Более странно
повёл себя ADinf: произведя тестирование в "перевёрнутом" виде он
выдал, что вирусов не обнаружено, после чего "повис" (правда вый-
ти из этого состояния удалось клавишами CTRL/BREAK).
При первом запуске AVSP следует протестировать систему на на-
личие известных вирусов, выбрав пункты меню "Поиск и удаление ви-
русов" и "Комплексная проверка". При этом проверяется оператив-
ная память, BOOT-сектор и файлы. После этого( если вирусов не об-
наружено) нужно создать таблицы данных о файлах и системных об-
ластях, выбрав в основном меню пункт "Данные о файлах и вирусах"
и подменю "Создание файлов данных". При этом на диске в каталоге
/AVSP будут созданы файлы DISKDATA.DTL (данные о размерах и кон-
трольных суммах файлов), MBOOT.DTL ( копия Master Boot сектора) и
BOOT.DTL ( копия DOS Boot сектора). Теперь при комплексной про-
верке AVSP будет сравнивать файлы на диске с информацией, содер-
жащейся в этих файлах данных. Эта информация может быть использо-
вана для анализа изменений, произошедших в файлах и Boot-секто-
рах, а также для поиска и лечения неизвестных виpусов. Причем в
ряде случаев можно восстанавливать даже файлы, испорченные неиз-
вестным вирусом.
Указать программе, что именно нужно проверять, пользователь
может с помощью пункта "Установка параметров". Можно установить
проверку размеров файлов, их контрольных сумм, наличие в них ви-
русов, либо все это вместе. Для этого нужно установить "флажки"
напротив соответствующих пунктов. Так же можно указать, что имен-
но проверять ( Boot-сектор, память, или файлы). Как и в большин-
стве антивирусных программ здесь пользователю предоставляется
возможность выбрать между скоростью и качеством. Суть скоростной
проверки заключается в том, что просматривается не весь файл, а
только его начало; при этом удается обнаружить большинство виру-
сов. Если же вирус пишется в середину, либо файл заражён нес-
колькими вирусами ( при этом "старые" вирусы как бы оттесняются в
середину "молодым" ) то программа его и не заметит. Поэтому сле-
дует установить оптимизацию по качеству, тем более что в AVSP ка-
чественное тестирование занимает не намного больше времени, чем
скоростное.
Все операции, например, поиск вирусов, могут производиться на
текущем диске (по умолчанию), по текущему пути, а также на всех
дисках. Для того, чтобы поменять путь или диск следует нажать
клавишу TAB. Во время работы информация о пути выводится в вер-
хнем левом углу.
Для проверки компьютера на наличие известных вирусов нужно в
основном меню выбрать пункт "Поиск и удаление вирусов". После
этого можно выбрать либо режим "Проверка наличия вирусов", либо
режим "Комплексная проверка". В первом случае будет произведена
проверка файлов и загрузочных секторов на известные вирусы, а во
втором - будут проверены не только файлы и BOOT-сектора, но и па-
мять. К тому же программа сравнит состояние системы с данными,
сохраненными в файлах DISKDATA.DTL , MBOOT.DTL и BOOT.DTL.
Сперва программа произведет предварительный проход для оценки
объема предстоящей работы, а затем просмотрит все программные
файлы. В любой момент пользователь может нажать ESC для прерыва-
ния просмотра или пробел для временной остановки.По умолчанию
AVSP проверяет размеры файлов. Если размер изменен, то проверяет-
ся контрольная сумма и строится карта изменения файла. Если файл
новый, то он проверяется на наличие известных вирусов.
Во время проверки диска в окно, расположенное в правой части
экрана могут выводиться различные сообщения, например, об измене-
нии размера файла. После проверки их все можно будет просмотреть
выбрав в меню пункт "Просмотр Сообщений". Иногда может быть выда-
но сообщение о подозрительных файлах. Это означает, что по неко-
торым признакам можно судить о том, что либо файл заражен новым
вирусом, либо он ранее был им заражен, но после лечения характер-
ные для вируса признаки остались. Такое сообщение выдается также
о файлах, у которых странное время создания. Например у меня AVSP
"ругается" на файл PCXSHOW.EXE, у которого время создания
3:53.60. Так же антивирусу не ндравятся программы, перенесенные с
компьютера БК-0011М. Дело в том, что большинство дисковых опера-
ционных систем, применяемых на БК (таких, как ОС НОРД, НОРТОН и
др.) не записывают в каталог дату создания и утилита, модернизи-
рующая дискету для работы с MS-DOS записывает в соответствующие
ячейки каталога число, соответствующее дате 0.0.80. Вот и выдает
AVSP сообщение "Несуществующая дата создания, возможен вирус!"
Интересен тот факт, что антивирус не "ругается" на свою демон-
страционную программу (AVSP_DEM.EXE), у которой дата создания
11.11.2011 года, а время 11:11, да ещё к тому же размер - пять
шестёрок. Вероятно при написании программы автор вспомнил, что
ещё существуют устаревшие машины, у которых нет CMOS и дата вво-
дится при загрузке.
При комплексной проверке AVSP выводит также имена файлов, в
которых произошли изменения, а также так называемую карту измене-
ний. Если у большинства изменённых файлов она одинаковая, то, ве-
роятнее всего, в систему "закрался" какой-то вирус. Чаще всего в
такой ситуации программа сама "заподозрит" неладное и предложит
внести информацию о нём в библиотеку. При этом шаблон вируса бу-
дет выбран автоматически.
При автоматическом определении новых вирусов AVSP может до-
пустить множество ошибок. Как раз в те дни, когда я занимался на-
писанием реферата, со мной произошел именно такой случай. При
проверке жесткого диска AVSP выдал сообщение "Найден неизвестный
вирус! " и выдал запрос о занесении шаблона вируса в библиотеку.
Взглянув на имя файла, я сразу понял, что наличие в нем вируса
маловероятно, так как это был самораспаковывающийся архив RAR-а
который я создал за несколько минут до запуска антивируса, пере-
паковав два файла, один из которых был также SFX-архивом с тем же
именем, что и получившийся. Решив посмотреть, что будет дальше, я
установил опцию создания отчета и повторно запустил комплексную
проверку. Вот фрагмент этого отчета:
Директория C:\TOOLS\UTILIT
SPEED200.EXE : Новый
TB.EXE : Новый
Директория C:\USER\MUSIC\METALL
METALL.EXE : Новый
PTTэS.COM : Новый
METAL.EXE : Новый
Директория C:\DISK_ARH
DERIVE.EXE : Изменен
- Изменение размера : 22053 (был 170496,стал 192549)
- Возможный вирус : TP-940128
- Карта изменения : Ы°°°°°°°°°°°°°°Ыю
После ответа на запрос AVSP-а о занесении вируса в библиотеку,
программа вывела составленный ею шаблон на экран. Дизассемблиро-
вав клавишей TAB код шаблона я увидел следующую последова-
тельность команд:
push es
push cs
pop ds
mov cx,[000ch]
mov si,cx
dec si
Такая последовательность команд, а особенно две первые (сохра-
нение соответствующих регистров) встречаются в начале многих ис-
полнимых программ. При повторном запуске комплексной проверки
AVSP "находил" вирус в каждой второй EXE-программе:
Директория C:\ANTIVIR
AIDSTEST.EXE : Заражен
- Вирус ERU-37
Директория C:\ANTIVIR\ADINF
REVIS.EXE : Заражен
- Вирус ERU-37
Директория C:\DOS
MEMMAKER.EXE : Заражен
- Вирус ERU-37
MSAV.EXE : Заражен
- Вирус ERU-37
<<<< Работа прервана (диск C:) >>>>
Так что при автоматическом определении шаблона следует не по-
лениться проверить, действительно ли это вирус и не будет ли этот
шаблон встречаться в здоровых программах.
Если в процессе AVSP обнаpужит известный виpус, то следует
предпринять те же действия, как и при работе с Aidstest и Dr.Web:
скопировать файл на диск, перезагрузиться с резервной дискеты и
запустить AVSP. Желательно также, чтобы при этом в память был
загружен драйвер AVSP.SYS, так как он помогает основной програм-
ме лечить Stealth-вирусы. После этого нужно выбpать пункт меню
"Удаление виpусов". Если в библиотеке программы VIRUSES.INF есть
информация о том, как лечить данный виpус, то файл будет вылечен,
и AVSP выдаст соответствующее сообщение. При отсутствии в библио-
теке информации о способе лечения данного вируса программа попы-
тается автоматически восстановить файл при помощи информации,
сохраненной в файлах данных DISKDATA.DTL. Если файл вылечить не
удастся, то, возможно это вирус-"невидимка". Узнать поподробнее о
том, что же за вирус "залез" в систему можно в режиме просмотра
сообщений. Для этого нужно подвести курсор на название вируса и
нажать ENTER.
Если автоматически файл восстановить не удалось то можно ли-
бо,как всегда, удалить его, либо попытаться самостоятельно обу-
чить AVSP уничтожать виpус. Правда для написания "лекарства" да-
же на макроязыке AVSP-а нужно иметь опыт в системном программиро-
вании и знать хотя бы азы ассемблера. Ведь и в медицине таблетки
в неумелых руках приносят больше вреда, чем пользы. Если у
пользователя есть модем, то он может послать в сеть "электронное
объявление" с вопросом о способе лечения вируса. При этом сле-
дует выбирать достаточно известные станции, а не любительские
BBS, в которые лазают только любители GIF-ов и анекдотов про по-
ручика Ржевского.
Для внесения и редактирования информации о вирусах в меню
"Данные о файлах и о вирусах" есть подменю "Изменение информации
о вирусах". При выборе этого пункта программа выводит на экран
список всех известных ей вирусов. По списку можно передвигаться с
помощью стрелок. Чтобы получить более полную информацию о вирусе,
нужно, подведя курсор к его имени, нажать ENTER. Вся эта информа-
ция находится в файле VIRUSES.INF, который можно редактировать не
только с помощью AVSP в пункте "Изменение информации о вирусах",
но и как обычный текстовый файл. Чтобы внести информацию о новом
вирусе с помощью AVSP нужно нажать F2 , программа спросит об име-
ни вируса, а когда пользователь введет это имя, программа выдаст
таблицу, аналогичную той, что выводится при автоматическом зада-
нии шаблона. В эту таблицу нужно занести все известные об этом
вирусе данные. В AVSP существует возможность задавать шаблон не
только обычных, но и самомодифицирующихся вирусов. Это осущес-
твляется посредством символозаменителей в мнемонических командах,
также составляющих макроязык антивируса. Опытные программисты мо-
гут внести также последовательность макрокоманд, задающую способ
лечения файла. В любой момент можно отказаться от редактирования,
нажав ESC или записать информацию в библиотеку, нажав ENTER.
Но, конечно, полностью все возможности программы реализуются в
руках человека, знакомого с ассемблером и системным программиро-
ванием. В AVSP имеется возможность просматривать файлы в разных
форматах. При входе в режим просмотра на экран выводятся две ко-
лонки: слева содержимое просматриваемого файла в виде шестнадца-
тиричных кодов, а справа - в виде ASCII-кодов. Кроме того выво-
дится полезная системная информация, которая поможет при написа-
нии процедуры удаления вируса. Передвигая курсор, можно перейти
на любой адрес, есть также функции поиска шаблонов, сравнения
файлов. Можно установить, в каком формате будет просматриваться,
например, заголовок: как у EXE-файла, SYS-файла или в формате
загрузочного сектора. При этом хорошо реализован сам просмотр за-
головка: его системные ячейки представлены в виде таблицы: слева
значение ячейки, справа - пояснение.
Ещё одной полезной функцией является встроенный дизассемблер.
С его помощью можно разобраться есть ли в файле вирус или при
проверке диска произошло ложное срабатывание AVSP. Кроме того
можно попытаться выяснить способ заражения, принцип действия ви-
руса, а также место, куда он "спрятал" замещённые байты файла
(если мы имеем дело с таким типом вируса). Все это позволит напи-
сать процедуру удаления вируса и восстановить запорченные файлы.
Для полного счастья нехватает только трассировщика, хотя в неуме-
лых руках такая функция может привести к заражению ещё большего
колличества данных. В режиме дизассемблера между мнемоническими
командами можно перемещаться, используя стрелки. Чтобы перейти по
смещению, указанному в команде перехода, нужно нажать клавишу F7.
Ещё одна полезная функция - выдача наглядной карты изменений.
Особенно ясно я это понял, когда у меня возникло подозрение в от-
ношении одного из файлов (который не должен был, вроде бы, ме-
няться) в ревизоре ADinf, в котором нет такой функции. Карта из-
менений позволяет оценить, соответствуют ли эти изменения вирусу
или нет, а также сузить область поиска тела вируса при дизассем-
блировании. При её построении красный прямоугольник используется
для изображения изменённого блока, синий - неизменённого, а проз-
рачный - нового.
Если есть подозрение, что в систему забрался Stealth-вирус,
можно запустить AVSP с параметром /D с жесткого диска, а затем
загрузиться с чистой системной дискеты и запустить AVSP без пара-
метров. Если результаты проверки контрольных сумм отличаются в
обоих случаях, то подозрения оправданы. В программе AVSP есть два
алгоритма нейтрализации "невидимок" и оба они работают только при
наличии активного вируса в памяти. То, что происходит при реали-
зации этих алгоритмов похоже на фильм ужасов или конец Света: все
файлы копируются в файлы данных, а потом стираются. Спасаются
только файлы с атрибутом SYSTEM. В Adinf процесс удаления
Stealth-ов реализован гораздо проще. Может, конечно, способ
борьбы с "невидимками" в AVSP и надёжней, но как-то это не особо
приятное развлечение - перепахивать весь "винт", да к тому же и
небезопасное.
Программа AVSP контролирует также и состояние загрузочных сек-
торов. Если заражен BOOT-сектор на дискете и антивирус не может
его вылечить, то следует стереть загрузочный код. Дискета при
этом станет несистемной, но данные при этом не потеряются. С
"винчестером" так лихо поступать нельзя. При обнаружении измене-
ний в одном из BOOT-секторов жесткого диска AVSP предложит его
сохранить в некотором файле, а затем попытается удалить вирус.
Если это программе сделать не удастся, то она предложит восстано-
вить прежнее состояние загрузочного сектора. Вообще, "винчестер"
- вещь капризная, поэтому перед подобной операцией желательно
"скинуть" нужные данные на дискеты. Что уж говорить про операции
с BOOT-секторами, если были случаи, когда "винт" "самоочищался"
при участии Speed Disk-а и Disk Fix-а. Правда тому, кто лечил с
помощью AVSP Стелз-вирусы уже ничего не страшно.
Microsoft Antivirus
В состав современных версий MS-DOS (например 6.22) входит ан-
тивирусная программа Microsoft Antivirus (MSAV). Этот антивирус
может работать в режимах детектора-доктора и ревизора.
MSAV имеет дружественный интерфейс в стиле MS-Windows, естес-
твенно, поддерживается мышь. Хорошо реализована контекстная по-
мощь: подсказка есть практически к любому пункту меню,к любой си-
туации. Универсально реализован доступ к пунктам меню: для этого
можно использовать клавиши управления курсором, ключевые клавиши
(F1-F9), клавиши, соответствующие одной из букв названия пункта,
а также мышь. Флажки установок в пункте меню Options можно уста-
навливать как клавишей ПРОБЕЛ, так и клавишей ENTER. Серьёзным
неудобством при использовании программы является то, что она сох-
раняет таблицы с данными о файлах не в одном файле, а разбрасы-
вает их по всем директориям. Вот и кочуют файлики CHKLIST.MS при
обмене программами от пользователя к пользователю, захламляя ка-
талог и место на диске.
При запуске программа загружает собственный знакогенератор и
читает дерево каталогов текущего диска, после чего выходит в
главное меню. Не понятно, зачем читать дерево каталогов сразу при
запуске : ведь пользователь может и не захотеть проверять теку-
щий диск. В главном меню можно сменить диск (Select new drive),
выбрать между проверкой без удаления вирусов (Detect) и с их уда-
лением (Detect&Clean). При запуске проверки диска (как в режиме
удаления, так и без него) программа сначала сканирует память на
наличие известных ей вирусов. При этом выводится индикация проде-
ланной работы в виде цветной полоски и процента выполненной рабо-
ты. После сканирования памяти MSAV принимается за проверку непос-
редственно диска.
При первой проверке MSAV создает в каждой директории, содержа-
щей исполнимые файлы, файлы CHKLIST.MS, в которые записывает ин-
формацию о размере, дате, времени, атрибутах, а также кон-
трольную сумму контролируемых файлов. При последующих проверках
программа будет сравнивать файлы с информацией в CHKLIST.MS-фай-
лах. Если изменились размер и дата, то программа сообщит об этом
пользователю и запросит о дальнейших действиях: обновить информа-
цию (Update), установить дату и время в соответствие с данными в
CHKLIST.MS (Repair), продолжить, не обращая внимания на измене-
ния в данном файле (Continue), прервать проверку (Stop). Если из-
менилась контрольная сумма, то MSAV выведет такое же окно, только
вместо пункта Repair будет пункт Delete (удалить), так как прог-
рамма не может восстановить содержимое файла. При обнаружении ви-
руса в режиме Detect&Clean программа удалит этот вирус. Проверку
диска в обоих режимах можно приостановить, либо полностью прер-
вать, нажав ESC (или F3) и ответив на соответствующий вопрос
программы. Во время сканирования диска выводится информация о
проделанной работе: процент обработанных каталогов и процент об-
работанных файлов в текущем каталоге. Эта информация выдается
также наглядно, в виде цветной полоски, как и при проверке памя-
ти. В конце проверки MSAV выдает отчет в виде таблицы, в которой
сообщается о колличестве проверенных жестких дисков и гибких дис-
ков, о колличестве проверенных, инфицированных и вылеченных фай-
лов. Кроме того выводится время сканирования.
В меню Options можно сконфигурировать программу по собственно-
му желанию. Здесь можно установить режим поиска вирусов-невиди-
мок (Anti-Stealth), проверки всех (а не только исполнимых) фай-
лов (Check All Files), а также разрешить или запретить создавать
таблицы CHKLIST.MS (Create New Checksums). К тому же можно за-
дать режим сохранения отчета о проделанной работе в файле. Если
установить опцию Create Backup, то перед удалением вируса из за-
раженного файла его копия будет сохранена с расширением.VIR
Находясь в основном меню, можно просмотреть список вирусов,
известных программе MSAV, нажав клавишу F9. При этом выведется
окно с названиями вирусов. Чтобы посмотреть более подробную ин-
формацию о вирусе, нужно подвести курсор к его имени и нажать
ENTER. Можно быстро перейти к интересующему вирусу, набрав пер-
вые буквы его имени. Информацию о вирусе можно вывести на прин-
тер, выбрав соответствующий пункт меню.
ADINF
(Advanced Diskinfoscope)
ADinf относится к классу программ-ревизоров. Антивирус имеет
высокую скорость работы, способен с успехом противостоять виру-
сам, находящимся в памяти. Он позволяет контролировать диск, чи-
тая его по секторам через BIOS и не используя системные прерыва-
ния DOS, которые может перехватить вирус. Программа ADinf получи-
ла первый приз на Втором Всесоюзном конкурсе антивирусных прог-
рамм в 1990 году, а также второй приз на конкурсе Borland
Contest'93.
В отличие от AVSP, в котором пользователю приходится самому
анализировать, заражена ли машина Stealth-вирусом, загружаясь
сначала с винчестера, а потом с эталонной дискеты, в ADinf эта
операция происходит автоматически. Это происходит благодаря ори-
гинальному алгоритму противодействия этим вирусам-"невидимкам" ,
суть которого заключается в том, что сначала диск читается непос-
редственно через BIOS, а потом - с помощью DOS. Если информация
будет отличаться, то в системе Стелз-вирус. ADinf был единствен-
ным антивирусом, который летом 1991 года обнаружил вирус DIR,
построенный на принципиально новом способе заражения и маскировки.
Для лечения заражённых файлов применяется модуль ADinf Cure
Module, не входящий в пакет ADinf и поставляющийся отдельно.
Принцип работы модуля - сохранение небольшой базы данных, описы-
вающей контролируемые файлы. Работая совместно, эти программы
позволяют обнаружить и удалить около 97% файловых вирусов и 100%
вирусов в загрузочном секторе. К примеру, нашумевший вирус
SatanBug был легко обнаружен, и заражённые им файлы автоматичес-
ки восстановлены. Причем, даже те пользователи, которые приобре-
ли ADinf и ADinf Cure Module за несколько месяцев до появления
этого вируса, смогли без труда от него избавиться. Подробнее о
лечащем модуле я ничего рассказать не могу, так как у меня его
нет.
В отличие от других антивирусов Advansed Diskinfoscope не тре-
бует загрузки с эталонной, защищённой от записи дискеты. При заг-
рузке с винчестера надежность защиты не уменьшается.
ADinf имеет хорошо выполненный дружественный интерфейс, кото-
рый в отличие от AVSP реализован не в текстовом, а в графическом
режиме. Программа работает непосредственно с видео-памятью, ми-
нуя BIOS, при этом поддерживаются все графические адаптеры. Нали-
чие большого колличества ключей позволяет пользователю создать
максимально удобную для него конфигурацию системы. Можно устано-
вить, что именно нужно контролировать: файлы с заданными расшире-
ниями, загрузочные сектора, наличие сбойных кластеров, новые фай-
лы на наличие Stealth-вирусов, файлы из списка неизменяемых и
т.д. По своему желанию пользователь может запретить проверять не-
которые каталоги (это нужно, если каталоги являются рабочими и в
них всё время происходят изменения). Имеется возможность изме-
нять способ доступа к диску (BIOS, Int13h или Int25h/26h), редак-
тировать список расширений проверяемых файлов, а также назначить
каждому расширению собственный вьюер, с помощью которого будут
просматриваться файлы с этим расширением. Также имеются различ-
ные прибомбасы типа обновления вместе с таблицами и файла
TREEINFO.NCD (этот файл реализовывает возможность быстрого пере-
хода по дереву каталогов в программе Norton Commander). В тради-
циях современного программного обеспечения реализована работа с
мышью. Как и вся продукция фирмы "ДиалогНаука", ADinf поддержи-
вает программно-аппаратный комплекс Sheriff.
При инсталяции ADinf в систему имеется возможность изменить
имя основного файла ADINF.EXE и имя таблиц, при этом пользова-
тель может задать любое имя. Это очень полезная функция, так как
в последнее время появилось множество вирусов, "охотящихся" за
антивирусами (например, есть вирус, который изменяет программу
Aidstest так, что она вместо заставки фирмы "ДиалогНаука" пишет:
"Лозинский - пень"), в том числе и за ADinf.
Полезной функцией является возможность работы с DOS не выходя
из программы. Это бывает полезно, когда нужно запустить внешний
антивирус для лечения файла, если у пользователя нет лечащего
блока ADinf Cure Module.
Ещё одна интересная функция - запрещение работы с системой при
обнаружении изменений на диске. Эта функция полезна, когда за
терминалами работают пользователи, не имеющие ещё большого опыта
в общении с компьютером.Такие пользователи по незнанию или по ха-
латности могут проигнорировать сообщение ADinf и продолжить рабо-
ту как ни в чём не бывало, что может привести к тяжёлым послед-
ствиям. Если же установлен ключ -Stop в строке вызова ADinf
AUTOEXEC.BAT, то при обнаружении изменений на диске программа
потребует позвать системного программиста,обслуживающего данный
терминал, а если пользователь нажмет ESC или ENTER, то система
перезагрузится и все повторится снова. И всё же эта функция про-
думана не до конца, так как продолжение работы возможно при нажа-
тии клавиши F10. Ведь большинство пользователей, даже если они
впервые сели за компьютер, даже при минимальном на то желании
смогут продолжить работу, воспользовавшись "правилом научного ты-
ка", то есть нажав на все клавиши подряд. Для повышения надёжнос-
ти защиты от таких пользователей следовало бы ввести хотя бы ка-
кой-нибудь простенький пароль.
Принцип работы ADinf основан на сохранении в таблице копии
MASTER-BOOT и BOOT секторов, список номеров сбойных кластеров,
схему дерева каталогов и информацию о всех контролируемых файлах.
Кроме того, программа запоминает и при каждом запуске проверяет,
не изменился ли доступный DOS объем оперативной памяти (что бы-
вает при заражении большинством загрузочных вирусов), количество
установленных винчестеров, таблицы параметров винчестера в облас-
ти переменных BIOS.
При первом запуске программа запоминает объем оперативной па-
мяти, находит и запоминает адрес обработчика прерывания Int 13h в
BIOS, который будет использоваться при всех последующих провер-
ках, и строит таблицы для проверяемых дисков. При этом проверяет-
ся, показывал ли вектор прерывания 13h в BIOS перед загрузкой DOS.
При последующих запусках ADinf проверяет объем оперативной па-
мяти, доступной DOS, переменные BIOS, загрузочные сектора, спи-
сок номеров сбойных кластеров(так как некоторые вирусы, записав-
шись в кластер, помечают его, как сбойный, чтобы их не затёрли
другие данные, а также не обнаружили примитивные антивирусы). К
тому же антивирус ищет вновь созданные и уничтоженные подкатало-
ги,новые, удаленные, переименованные, перемещённые и изменившие-
ся файлы (проверяется изменение длины и контрольной суммы). Если
ADinf обнаружит, что, изменился файл из списка неизменяемых, ли-
бо в файле произошли изменился без изменения даты и времени, а
также наличие у файла cтранной даты (число больше 31, месяц
больше 12 или год больше текущего) или времени (минут больше 59,
часов больше 23 или секунд больше 59), то он выдаст предупрежде-
ние о том, что возможно заражение вирусом.
Если обнаружены изменения BOOT-секторов, то можно в режиме
диалога сравнить системные таблицы, которые были до и после изме-
нения, и по желанию восстановить прежний сектор. После восстанов-
ления измененный сектор сохраняется в файле на диске для после-
дующего анализа. Новые сбойные кластеры (вернее информация о них
в FAT) могут появиться после запуска какой-либо утилиты, лечащей
диск (например NDD) или благодаря действиям вируса. Если ADinf
выдал сообщение, а пользователь не запускал никаких подобных ути-
лит, то скорее всего в компьютер забрался вирус. При получении
такого сообщения следует продолжить проверку, внимательно следя
за всеми сообщениями об изменениях файлов и загрузочных секторов.
Если в системе действительно вирус, то такие сообщения не заста-
вят себя долго ждать(ведь если все тело вируса будет находиться в
"сбойном" кластере, ему никогда не передастся управление).
После проверки ADinf выдаёт сводную таблицу, сообщающую об
изменениях на диске. По таблице можно перемещаться стрелками и
просматривать подробную информацию, нажав ENTER на интересующем
пункте. Существует возможность перехода к любому пункту с по-
мощью "быстрых" клавиш. Изменившиеся файлы можно просмотреть в
классическом режиме (шестнадцатиричный дамп / ASCII-коды) с по-
мощью встроенного вьюера, который читает диск через BIOS. Можно
также воспользоваться внешним вьюером предварительно указав к не-
му путь. Подключив внешний редактор, можно отредактировать изме-
нившийся файл.
Не совсем привычно выглядит форма, в которой ADinf сообщает
об обнаруженных подозрительных изменениях: вместо выдачи сообще-
ния о конкретных изменениях он выводит красное окно со списком
всех возможных и помечает галочкой пункты, соответствующие изме-
нениям, произошедшим в настоящий момент. Если после получения та-
кого сообщения нажать ESC, то программа запросит о дальнейших
действиях: обновить информацию о диске, не обновлять её, лечить
(при наличии лечащего модуля ADinf Cure Module) или записать про-
токол. Для лечения можно воспользоваться внешним антивирусом,
загрузив его из окна работы с DOS, которое вызывается комбина-
цией клавиш ALT+V.
Если изменения не относятся к разряду подозрительных, то пос-
ле выдачи таблицы изменений можно нажать ESC. При этом программа
спросит, нужно ли обновлять данные о диске в таблицах или не нуж-
но, а также нужно ли создавать файл в отчетом о проделанной рабо-
те. После выбора одного из пунктов программа выполняет затребо-
ванное действие и завершает свою работу.
СВОДНАЯ ТАБЛИЦА ОПИСАННЫХ АНТИВИРУСНЫХ ПРОГРАММ
ЙННННННННННННЛНННННННННННЛННННННННННЛНННННННННЛНННННННННЛНННННННН»
є ИМЯ є AIDSTEST є DR.WEB є AVSP є ADINF є MSAV є
єННННННННННННОНННННННННННОННННННННННОНННННННННОНННННННННОНННННННН№
є Версия є 1221 є 2.14 є 2.95 є 10.00 єDOS 6.20є
МННЛНННННННННОНННННННННННОННННННННННОНННННННННОНННННННННОНННННННН№
єТ є Фильтр є - є - є + є - є - є
є МНННННННННОНННННННННННОННННННННННОНННННННННОНННННННННОНННННННН№
є є Доктор є + є + є + є - є + є
єИ МНННННННННОНННННННННННОННННННННННОНННННННННОНННННННННОНННННННН№
є єРевизор є - є - є + є + є + є
є МНННННННННОНННННННННННОННННННННННОНННННННННОНННННННННОНННННННН№
єП єДетектор є + є + є + є - є + є
МННКНННННННННОНННННННННННОННННННННННОНННННННННОНННННННННОНННННННН№
єКолличество є 1221 є 1085 є 276 є - є 1234 є
є вирусов є є є * є є є
МННННННННННННОНННННННННННОННННННННННОНННННННННОНННННННННОНННННННН№
є Поддержка є - є - є + є + є + є
є мыши є є є є є є
МННННННННННННОНННННННННННОННННННННННОНННННННННОНННННННННОНННННННН№
є Оконный є є є є є є
є интерфейс є - є - є + є + є + є
є є є є є є є
МННННННННННННОНННННННННННОННННННННННОНННННННННОНННННННННОНННННННН№
є Обнаружениеє є є є є є
є Stealth є - є - є + є + є + є
є вирусов є є є є є є
МННННННННННННОНННННННННННОННННННННННОНННННННННОНННННННННОНННННННН№
є Обнаружениеє є є є є є
є неизвестныхє - є + є + є + є + є
є вирусов є є є є є є
МННННННННННННОНННННННННННОННННННННННОНННННННННОНННННННННОНННННННН№
єВремя работыє /g/s є /a/s2/v єкачество,є по умол-єпо умол-є
єпри задании є є /o/u є ***/все єчанию єчанию, сє
єсоответств. є є є файлы є єконтрол.є
є режимов є є є є єсуммами є
є ** МНННННННННННОННННННННННОНННННННННОНННННННННОНННННННН№
є є 2.5 мин є 23мин є 4 мин / є 1 мин є 1мин є
є є є є 11мин є є 20 сек є
ИННННННННННННКНННННННННННКННННННННННКНННННННННКНННННННННКННННННННј
Сноски таблицы:
* - Имеется возможность самостоятельного пополнения данных о
вирусах.
** - Данные о быстродействии приведены для машины 486DX2-66 с
жестким диском 270 MB, заполненным на 97%.
*** - Файлы с расширениями com,exe,ov?,bin,sys.
ПОСЛЕСЛОВИЕ
На мой взгляд, из всех отечественных программ, рассмотренных
здесь ADinf является самой полной, логически завершенной антиви-
русной системой. Остальные программы находятся, как бы в стадии
развития. Программы-фаги, в принципе, не могут достигнуть логи-
ческого завершения, так как должны развиваться, чтобы противос-
тоять новым вирусам, хотя Dr.Web уже пошел по пути усовершенство-
вания интерфейса. Высок потенциал у программы AVSP, которая при
соответствующей доработке (упрощении алгоритмов поиска
Stealth-вирусов, введении низкоуровневой защиты, улучшении интер-
фейса) может занять высокие позиции в среде антивирусов.
СПИСОК ЛИТЕРАТУРЫ
1. В.Э.Фигурнов "IBM PC для пользователя". Уфа, ПК "Дегтярёв
и сын", 1993 г.
2. Ф.Файтс, П.Джонстон, М.Кратц "Компьютерный вирус: пробле-
мы и прогноз". Москва, "Мир", 1993 г.
3. Н.Н.Безруков "Классификация компьютерных вирусов MS-DOS и
методы защиты от них". Москва, СП "ICE", 1990 г.
4. Йорг Шиб "MS-DOS 6.22 за 5 минут". Москва, "Бином",1995 г.
5. Газета "Компьютерра" за 26 сентября 1994 г.
6. Документации на антивирусные программы.
7. Собственный опыт.
В реферате описаны следующие версии программ:
Aidstest - 1221; Doctor Web - 2.14;
AVSP - 2.95m; ADinf - 10.00/386;
Microsoft Antivirus - из пакета MS-DOS версии 6.20