Реферат: Сводная таблица антивирусных программ стр

СОДЕРЖАНИЕ


Введение...............................................стр. 2

Aidstest...............................................стр. 4

Doctor Web.............................................стр. 6

AVSP...................................................стр. 8

Microsoft Antivirus...................................стр. 18

ADinf.................................................стр. 20

Послесловие...........................................стр. 25

Сводная таблица антивирусных программ.................стр. 26


Список используемой литературы........................стр. 27


-1-

ВВЕДЕНИЕ


При работе с современным персональным компьютером пользователя (а особенно начинающего) может подстерегать множество неприятностей: потеря данных, зависание системы, выход из строя отдельных частей компьютера и другие. Одной из причин этих проблем наряду с ошибками в программном обеспечении и неумелыми действиями самого оператора ПЭВМ могут быть проникшие в систему компьютерные вирусы. Эти программы подобно биологическим вирусам размножаются, записываясь в системные области диска или приписываясь к файлам и производят различные нежелательные действия, которые , зачастую, имеют катастрофические последствия. Чтобы не стать жертвой этой напасти, каждому пользователю следует хорошо знать принципы защиты от компьютерных вирусов.

С давних времён известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры - это резидентные программы, которые оповещают пользователя о всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его , а также о других подозрительных действиях (например, о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно

актуально сейчас, когда появилось множество вирусов-мутантов,не имеющих постоянного кода. Однако, программы-фильтры не могут отслеживать вирусы,

-2-

обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки DOS. К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать. Наибольшее распространение в нашей стране получили программы-детекторы,а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - Aidstest, Doctor Web, MicroSoft AntiVirus далее будут рассмотрены подробнее. Антивирусы-детекторы расчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ.Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.

Ревизоры - программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохранённой ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений,

например, длины программы может быть вовсе и не вирус. Так был случай, когда один начинающий пользователь не на шутку перепугался, когда антивирус AVSP выдал ему сообщение об изменениях в файле CONFIG.SYS. Оказалось, что до этого на компьютер была осуществлена инсталяция менеджера памяти QEMM, который пишет свой драйвер в CONFIG.SYS.

К последней группе относятся самые неэффективные антивирусы -вакцинаторы. Они записывают в вакцинируемую программу признаки

конкретного вируса так, что вирус считает ее уже зарaженной.

-3-

AIDSTEST


В нашей стране, как уже было сказано выше, особую популярность приобрели антивирусные программы, совмещающие в себе функции детекторов и докторов. Самой известной из них является программа AIDSTEST Д.Н. Лозинского. В России практически на каждом IBM-совместимом персональном компьютере есть одна из версий этой программы. Одна из последняя версия обнаруживает более 1100 вирусов.

Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой ( например в Волков Коммандере для этих целей есть специальный пункт в меню).

При запуске Aidstest проверяет себя, оперативную память на наличие известных ему вирусов и обезвреживает их. При этом парализуются только функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться. Поэтому программа после окончания обезвреживания вируса в памяти выдает запрос о перезагрузке. Следует обязательно последовать этому совету, если оператор ПЭВМ не является системным программистом, занимающимся изучением свойств вирусов. При чем следует перезагрузиться кнопкой RESET, так как при "теплой перезагрузке" некоторые вирусы могут сохраняться. К тому же, лучше запустить машину и Aidstest с защищённой от записи дискеты, так как при запуске с зараженого диска вирус может записаться в память резидентом и препятствовать лечению.

Aidstest тестирует свое тело на наличие известных вирусов, а также по искажениям в своем коде судит о своем заражении неизвестным вирусом. Возможны случаи ложной тревоги, например, при сжатии антивируса упаковщиком.

Программа не имеет графического интерфейса и режимы ее работы задаются

-4-

с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог.

Как показала практика, самый оптимальный режим для ежедневной работы задается ключами /g (проверка всех файлов, а не только с расширением EXE,COM,SYS) и /s ( медленная проверка). Увеличивание времени при таких опциях практически не ощутимо ( полностью "забитый" жесткий диск емкостью 270 Мегобайт на машине с процессором 486DX2 тестируется меньше минуты), зато вероятность обнаружения на порядок выше.

При обычном тестировании не следует ставить ключ /f ( исправление зараженных программ и стирание не подлежащих восстановлению), даже с ключем /q ( выдавать запрос об удалении файла), поскольку любая программа, в том числе и антивирусная, не застрахована от ошибок. Ключ /f следует использовать тогда, корда Aidstest, а также другие антивирусы указывают на наличие вируса в каком-либо файле. При этом следует перезапустить компьютер с защищённой от записи дискеты, так как система может быть заражена резидентным вирусом, и тогда лечение будет неэффективным, а то и

просто опасным. При обнаружении вируса в ценном файле следует переписать его на дискету, а ещё лучше - на электронный диск и там попробывать вылечить с помощью указания Aidstest-у опции /f. Если попытка не увенчается успехом, то надо удалить все зараженные копии файла и проверить диск снова. Если в файле содержится важная информация, которую стирать жалко, то можно сархивировать файл и подождать выхода новой версии Aidstest или другого антивируса, способной лечить этот тип вируса. Для ускорения процесса можно направить зараженный файл в качестве образца Лозинскому.

Для создания в файле протокола работы программы Aidstest служит ключ /p. Протокол бывает нужен, когда, например, пользователь не успевает просмотреть имена зараженных файлов. Для поддержки антивирусного программно - аппаратного комплекса Sheriff (далее будет рассмотрен подробнее), служит ключ /z.

-5-

^ DOCTOR WEB


В последнее время стремительно растет популярность другой антивирусной программы - Doctor Web. Dr.Web также, как и Aidstest относится к классу детекторов - докторов, но в отличие от последнего имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов, которые при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса. Dr.Web можно назвать антивирусом нового поколения по сравнению с Aidstest и его аналогами. В пользу этой программы говорит тот факт, что крупную лицензию ( на 2000 компьютеров) приобрело Главное управление информационных ресурсов при Президенте РФ, а второй по величине покупатель "паутины" - "Инкомбанк".

Управление режимами также как и в Aidtest осуществляется с помощью ключей. Пользователь может указать программе тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную (указывается с помощью ключа /H ). Как и Aidstest Doctor Web может создавать отчет о работе (ключ /P), загружать знакогенератор Кириллицы (ключ /R ), поддерживает работу с программно-аппаратным комплексом

Sheriff ( ключ /Z ).

Но , конечно, главной особенностью "Лечебной паутины" является наличие эвристического анализатора, который подключается ключем /S. Баланса между скоростью и качеством можно добиться, указав ключу уровень эвристического анализа: 0 - минимальный, 1 - оптимальный, 2 - максимальный; при этом, естественно, скорость уменьшается пропорционально увеличению качества. К

-6-

тому же Dr.Web позволяет тестировать файлы, вакцинированные CPAV, а также упакованные LZEXE, PKLITE, DIET. Для этого следует указат ключ /U (при этом распаковка файлов будет произведена на текущем устройстве) или /Uдиск: (где диск: - устройство, на котором будет производиться распаковка), если дискета, с которой запущен Doctor Web защищена от записи. Многие программы упакованы таким способом, хотя пользователь может и не подозревать об этом. Если ключ /U не установлен, то Doctor Web может пропустить вирус, забравшийся в запакованную программу.

Важной функцией является контроль заражения тестируемых файлов резидентным вирусом( ключ /V ). При сканировании памяти нет стопроцентной гарантии, что "Лечебная паутина" обнаружит все вирусы, находящиеся там. Так вот, при задании функции /V Dr.Web пытается воспрепятствовать оставшимся резидентным вирусам заразить тестируемые файлы.

Тестирование винчестера Dr.Web-ом занимает на много больше времени, чем Aidstest-ом, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям можно посоветовать более тщательно (с опцией /S2) проверять принесенные извне дискеты.

Если информация на дискете находится в архиве ( а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения, например Borland, пакуют свою продукцию ), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr.Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку "винчестера" на вирусы с заданием максимального уровня эвристического анализа.

Так же как и в случае с Aidstest при начальном тестировании не стоит разрешать программе лечить файлы, в которых она обнаружит вирус, так как

-7-

нельзя исключить, что последовательность байт, принятая в антивирусе за шаблон может встретиться в здоровой программе. Если по завершении тестирования Dr.Web выдаст сообщения о том, что нашел вирусы, нужно запустить его с опцией /P (если эта опция не была указана) для того, чтобы посмотреть, какой файл заражен. После этого нужно скопировать файл на дискету или на электронный диск и попытаться удалить, указав "Лечебной паутине" ключ /F. При неудачном «лечении» следует поступить так же, как в аналогичной ситуации, описаной выше для программы Aidstest.

Для ежедневной работы с дискетами можно посоветовать следующую конфигурацию: web <имя диска>/A/S2/V/O/U/H , где /A - проверять все файлы, /S2 - эвристический анализатор, /V - проверять заражение резидентным вирусом, /O - выводить сообщение OK для незараженных файлов, /U - проверять запакованные ( но не архивированные!) файлы, /H - тестировать верхнюю память.

Чтобы все время не набирать одну и ту же последовательность ключей, можно включить в меню пользователя (USER MENU) оболочки NORTON COMMANDER ( или ДОС-НОВИГАТОР, если используется последняя) пункты вызова Dr.Web и Aidstest, либо создать командный файл. Это не только сэкономит время, но и позволит уменшить объем переменных окружения DOS, так как теперь не нужно будет указывать в команде PATH файла AUTOEXEC.BAT подкаталог с антивирусными программами (некоторые делают это для оперативного обращения к антивирусам)


AVSP

(Anti-Virus Software Protection)


Интересным программным продуктом является антивирус AVSP. Эта программа сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторые функции резидентного фильтра( запрет записи в файлы с атрибутом READ ONLY). Антивирус может «лечить» как известные так и неизвестные

-8-

вирусы, при чем о способе «лечения» последних программе может сообщить сам пользователь. К тому же AVSP может «лечить» самомодифицирующиеся и Stealth-вирусы (невидимки).

При запуске AVSP появляется система окон с меню и информация о состоянии программы. Очень удобна контекстная система подсказок, которая дает пояснения к каждому пункту меню. Она вызывается классически, клавишей F1, и меняется при переходе от пункта к пункту. Так же не маловажным достоинством в наш век Windows-ов и "Полуосей"( OS/2 ) является поддержка мыши. Существенный недостаток интерфейса AVSP - отсутствие возможности выбора пунктов меню нажатием клавиши с соответствующей буквой, хотя это несколько компенсируется возможностью выбрать пункт, нажав ALT и цифру, соответствующую номеру этого пункта.

В состав пакета AVSP входит также резидентный драйвер AVSP.SYS который позволяет обнаруживать большинство невидимых вирусов(кроме вирусов типа Ghost-1963 или DIR), дезактивировать вирусы на время своей работы, а также запрещает изменять READ ONLY файлы.

Устанавливается он классически, в файле CONFIG.SYS. Размещать строку в файле желательно ближе к началу, так как в драйверах тоже может содержаться вирус, и чем больше их запустится до начала функционирования AVSP.SYS, тем выше вероятность, что этот драйвер окажется бесполезным. AVSP.SYS можно разместить сразу же за драйверами менеджеров верхней памяти (HIMEM,EMM386,QEMM и др.).

Для подключения защиты READ ONLY файлов в AUTOEXEC.BAT следует включить строку вызывающую файл AVSPMONI.EXE, так же входящий в пакет, с параметром ON (естественно эта строка должна быть также одной из первых).Теперь при попытке снять атрибут или записаться в READ ONLY файл прозвучит длинный сигнал и операция не будет выполнена. Снять защиту можно либо запустив AVSPMONI.EXE c параметром OFF, либо в основной программе AVSP.EXE. Для этого нужно войти в пункт "Исследование изменений в файлах" и отметить нужные файлы клавишей "пробел" (можно

-9-

также отметить группу файлов клавишей "+"). После этого нужно нажать клавишу F8, и атрибут READ ONLY будет снят. Поставить файлы под защиту можно клавишей F7.

Ещё одна функция AVSP.SYS - отключение на время работы AVSP.EXE резидентных вирусов, правда вместе с вирусами драйвер отключает и некоторые другие резидентные программы. Если проверить эти факты, то в этом случае будут загружены две программы-пародии на вирусы: одна переворачивает экран, а другая превращает в бегущие волновые линии вертикальные прямые (например, вертикальные образующие панелей программы Norton Commander). При запуске AVSP возвращается экран в нормальное состояние, но "волны" на боках рамок остаются, правда и не переместятся, а будут стоять на месте. При вызове другого пункта меню боковые прямые его рамки также превратятся в волнистые, хотя и неподвижные. Из этого можно сделать вывод, что AVSP не полностью отключает резидентные программы. Более странно ведёт себя ADinf: произведя тестирование в "перевёрнутом" виде он выдаст, что вирусов не обнаружено, после чего "повиснет" (правда выйти из этого состояния можно клавишами CTRL/BREAK).

При первом запуске AVSP следует протестировать систему на наличие известных вирусов, выбрав пункты меню "Поиск и удаление вирусов" и "Комплексная проверка". При этом проверяется оперативная память, BOOT-сектор и файлы. После этого( если вирусов не обнаружено) нужно создать таблицы данных о файлах и системных областях, выбрав в основном меню пункт "Данные о файлах и вирусах" и подменю "Создание файлов данных". При этом на диске в каталоге /AVSP будут созданы файлы DISKDATA.DTL (данные о размерах и контрольных суммах файлов), MBOOT.DTL ( копия Master Boot сектора) и OOT.DTL ( копия DOS Boot сектора). Теперь при комплексной проверке AVSP будет сравнивать файлы на диске с информацией, содержащейся в этих файлах данных. Эта информация может быть использована для анализа изменений, произошедших в файлах и Boot-

-10-

секторах, а также для поиска и лечения неизвестных виpусов. Причем в ряде

случаев можно восстанавливать даже файлы, испорченные неизвестным вирусом.

Указать программе, что именно нужно проверять, пользователь может с помощью пункта "Установка параметров". Можно установить проверку размеров файлов, их контрольных сумм, наличие в них вирусов, либо все это вместе. Для этого нужно установить "флажки" напротив соответствующих пунктов. Так же можно указать, что именно проверять ( Boot-сектор, память, или файлы). Как и в большинстве антивирусных программ здесь пользователю предоставляется возможность выбрать между скоростью и качеством. Суть скоростной проверки заключается в том, что просматривается не весь файл, а только его начало; при этом удается обнаружить большинство вируов. Если же вирус пишется в середину, либо файл заражён неколькими вирусами ( при этом "старые" вирусы как бы оттесняются в середину "молодым" ) то программа его и не заметит. Поэтому следует установить оптимизацию по качеству, тем более что в AVSP качественное тестирование занимает не намного больше времени, чем скоростное.

Все операции, например, поиск вирусов, могут производиться на текущем диске (по умолчанию), по текущему пути, а также на всех дисках. Для того, чтобы поменять путь или диск следует нажать клавишу TAB. Во время работы информация о пути выводится в верхнем левом углу.

Для проверки компьютера на наличие известных вирусов нужно в основном меню выбрать пункт "Поиск и удаление вирусов". После этого можно выбрать либо режим "Проверка наличия вирусов", либо режим "Комплексная проверка". В первом случае будет призведена проверка файлов и загрузочных секторов на известные вирусы, а во втором - будут проверены не только файлы и BOOT-сектора, но и память. К тому же программа сравнит состояние системы с данными, сохраненными в файлах DISKDATA.DTL , MBOOT.DTL и BOOT.DTL.

Сперва программа произведет предварительный проход для оценки объема

-11-

предстоящей работы, а затем просмотрит все программные файлы. В любой

момент пользователь может нажать ESC для прерывания просмотра или пробел для временной остановки.По умолчанию AVSP проверяет размеры файлов. Если размер изменен, то проверяется контрольная сумма и строится карта изменения файла. Если файл новый, то он проверяется на наличие известных вирусов.

Во время проверки диска в окно, расположенное в правой части экрана могут выводиться различные сообщения, например, об изменении размера файла. После проверки их все можно будет просмотреть выбрав в меню пункт "Просмотр Сообщений". Иногда может быть выдано сообщение о подозрительных файлах. Это означает, что по некоторым признакам можно судить о том, что либо файл заражен новым вирусом, либо он ранее был им заражен, но после лечения характерные для вируса признаки остались. Такое сообщение выдается также о файлах, у которых странное время создания. Например, AVSP "ругается" на файл PCXSHOW.EXE, у которого время создания 3:53.60. Так же антивирусу не нравятся программы, перенесенные с компьютера БК-0011М. Дело в том, что большинство дисковых операционных систем, применяемых на БК (таких, как ОС НОРД, НОРТОН и др.) не записывают в каталог дату создания и утилита, модернизирующая дискету для работы с MS-DOS записывает в соответствующие ячейки каталога число, соответствующее дате 0.0.80. Вот и выдает AVSP сообщение "Несуществующая дата создания, возможен вирус!" Интересен тот факт, что антивирус не "ругается" на свою демонстрационную программу (AVSP_DEM.EXE), у которой дата создания 11.11.2011 года, а время 11:11, да ещё к тому же размер - пять шестёрок. Вероятно при написании программы автор вспомнил, что ещё существуют устаревшие машины, у которых нет CMOS и дата вводится при загрузке.

При комплексной проверке AVSP выводит также имена файлов, в которых произошли изменения, а также так называемую карту изменений. Если у большинства изменённых файлов она одинаковая, то вероятнее всего, в систему

-12-

"закрался" какой-то вирус. Чаще всего в такой ситуации программа сама "заподозрит" неладное и предложит внести информацию о нём в библиотеку. При этом шаблон вируса будет выбран автоматически.

При автоматическом определении новых вирусов AVSP может допустить множество ошибок. Так, к примеру, при проверке жесткого диска AVSP выдаёт сообщение "Найден неизвестный вирус! " и выдаёт запрос о занесении шаблона вируса в библиотеку.

Взглянув на имя файла, можно понять, что наличие в нем вируса маловероятно, так как это самораспаковывающийся архив RAR-а, который создан за несколько минут до запуска антивируса, если перепаковать два файла, один из которых также является SFX-архивом с тем же именем, что и получившийся. А дальше установливается опция создания отчета и повторного запуска комплексной проверки. Вот фрагмент этого отчета:


Директория C:\TOOLS\UTILIT

SPEED200.EXE : Новый

TB.EXE : Новый


Директория C:\USER\MUSIC\METALL

METALL.EXE : Новый

PTTэS.COM : Новый

METAL.EXE : Новый


Директория C:\DISK_ARH

DERIVE.EXE : Изменен

- Изменение размера : 22053 (был 170496,стал 192549)

- Возможный вирус : TP-940128

- Карта изменения :


-13-

После ответа на запрос AVSP-а о занесении вируса в библиотеку, программа вывела составленный ею шаблон на экран. Дизассемблировав клавишей TAB код шаблона можно увидеть следующую последовательность команд:

push es

push cs

pop ds

mov cx,[000ch]

mov si,cx

dec si

Такая последовательность команд, а особенно две первые (сохранение соответствующих регистров) встречаются в начале многих исполнимых программ. При повторном запуске комплексной проверки AVSP "находил" вирус в каждой второй EXE-программе:


Директория C:\ANTIVIR

AIDSTEST.EXE : Заражен

- Вирус ERU-37


Директория C:\ANTIVIR\ADINF

REVIS.EXE : Заражен

- Вирус ERU-37


Директория C:\DOS

MEMMAKER.EXE : Заражен

- Вирус ERU-37


MSAV.EXE : Заражен

- Вирус ERU-37


<<<< Работа прервана (диск C:) >>>>

-14-

Так что при автоматическом определении шаблона следует не полениться проверить, действительно ли это вирус и не будет ли этот шаблон встречаться в здоровых программах.

Если в процессе AVSP обнаpужит известный виpус, то следует предпринять те же действия, как и при работе с Aidstest и Dr.Web: скопировать файл на диск, перезагрузиться с резервной дискеты и запустить AVSP. Желательно также, чтобы при этом в память был загружен драйвер AVSP.SYS, так как он помогает основной программе «лечить» Stealth-вирусы. После этого нужно выбpать пункт меню "Удаление виpусов". Если в библиотеке программы VIRUSES.INF есть информация о том, как лечить данный виpус, то файл будет вылечен, и AVSP выдаст соответствующее сообщение. При отсутствии в библиотеке информации о способе лечения данного вируса программа попытается автоматически восстановить файл при помощи информации, охраненной в файлах данных DISKDATA.DTL. Если файл вылечить не удастся, то, возможно это вирус-"невидимка". Узнать поподробнее о том, что же за вирус "залез" в систему можно в режиме просмотра сообщений. Для этого нужно подвести курсор на название вируса и

нажать ENTER.

Если автоматически файл восстановить не удалось то можно либо, как всегда, удалить его, либо попытаться самостоятельно обучить AVSP уничтожать виpус. Правда для написания "лекарства" даже на макроязыке AVSP-а нужно иметь опыт в системном программировании и знать хотя бы азы ассемблера. Ведь и в медицине таблетки в неумелых руках приносят больше вреда, чем пользы. Если у пользователя есть модем, то он может послать в сеть "электронное объявление" с вопросом о способе лечения вируса. При этом следует выбирать достаточно известные станции, а не любительские BBS, в которые лазают только любители GIF-ов и анекдотов про поручика Ржевского.

Для внесения и редактирования информации о вирусах в меню "Данные о файлах и о вирусах" есть подменю "Изменение информации о вирусах". При

-15-

выборе этого пункта программа выводит на экран список всех известных ей вирусов. По списку можно передвигаться с помощью стрелок. Чтобы получить более полную информацию о вирусе, нужно, подведя курсор к его имени, нажать ENTER. Вся эта информация находится в файле VIRUSES.INF, который можно редактировать не только с помощью AVSP в пункте "Изменение информации о вирусах", но и как обычный текстовый файл. Чтобы внести информацию о новом вирусе с помощью AVSP нужно нажать F2 , программа спросит об имени вируса, а когда пользователь введет это имя, программа выдаст таблицу, аналогичную той, что выводится при автоматическом задании шаблона. В эту таблицу нужно занести все известные об этом вирусе данные. В AVSP существует возможность задавать шаблон не только обычных, но и самомодифицирующихся вирусов. Это осуществляется посредством символозаменителей в мнемонических командах, также составляющих макроязык антивируса. Опытные программисты могут внести также последовательность макрокоманд, задающую способ лечения файла. В любой момент можно отказаться от редактирования, нажав ESC или записать информацию в библиотеку, нажав ENTER.

Но, конечно, полностью все возможности программы реализуются в руках человека, знакомого с ассемблером и системным программированием. В AVSP имеется возможность просматривать файлы в разных форматах. При входе в режим просмотра на экран выводятся две колонки: слева содержимое просматриваемого файла в виде шестнадцатиричных кодов, а справа - в виде ASCII-кодов. Кроме того выводится полезная системная информация, которая поможет при написании процедуры удаления вируса. Передвигая курсор, можно перейти на любой адрес, есть также функции поиска шаблонов, сравнения файлов. Можно установить, в каком формате будет просматриваться, например, заголовок: как у EXE-файла, SYS-файла или в формате загрузочного сектора. При этом хорошо реализован сам просмотр заголовка: его системные ячейки представлены в виде таблицы: слева значение ячейки, справа - пояснение.

-16-

Ещё одной полезной функцией является встроенный дизассемблер. С его помощью можно разобраться есть ли в файле вирус или при проверке диска произошло ложное срабатывание AVSP. Кроме того можно попытаться выяснить способ заражения, принцип действия вируса, а также место, куда он "спрятал" замещённые байты файла (если мы имеем дело с таким типом вируса). Все это позволит написать процедуру удаления вируса и восстановить запорченные файлы. Для полного счастья нехватает только трассировщика, хотя в неумелых руках такая функция может привести к заражению ещё большего колличества данных. В режиме дизассемблера между мнемониче-скими командами можно перемещаться, используя стрелки. Чтобы перейти по смещению, указанному в команде перехода, нужно нажать клавишу F7.

Ещё одна полезная функция - выдача наглядной карты изменений. Особенно ясно, это понятно, когда возникает подозрение в отношении одного из файлов (который не должен был, вроде бы, меняться) в ревизоре ADinf, в котором нет такой функции. Карта изменений позволяет оценить, соответствуют ли эти изменения вирусу или нет, а также сузить область поиска тела вируса при дизассемблировании. При её построении красный прямоугольник используется для изображения изменённого блока, синий - неизменённого, а прозрачный - нового.

Если есть подозрение, что в систему забрался Stealth-вирус, можно запустить AVSP с параметром /D с жесткого диска, а затем загрузиться с чистой системной дискеты и запустить AVSP без параметров. Если результаты проверки контрольных сумм отличаются в обоих случаях, то подозрения оправданы. В программе AVSP есть два алгоритма нейтрализации "невидимок" и оба они работают только при наличии активного вируса в памяти. То, что происходит при реализации этих алгоритмов похоже на фильм ужасов или конец Света: все файлы копируются в файлы данных, а потом стираются. Спасаются только файлы с атрибутом SYSTEM. В Adinf процесс удаления

Stealth-ов реализован гораздо проще. Может, конечно, способ борьбы с "невидимками" в AVSP и надёжней, но как-то это не особо приятное

-17-

развлечение - перепахивать весь "винт", да к тому же и небезопасное.

Программа AVSP контролирует также и состояние загрузочных секторов. Если заражен BOOT-сектор на дискете и антивирус не может его вылечить, то следует стереть загрузочный код. Дискета при этом станет несистемной, но данные при этом не потеряются. С "винчестером" так лихо поступать нельзя. При обнаружении изменений в одном из BOOT-секторов жесткого диска AVSP предложит его сохранить в некотором файле, а затем попытается удалить вирус. Если это программе сделать не удастся, то она предложит восстановить прежнее состояние загрузочного сектора. Вообще, "винчестер" - вещь капризная, поэтому перед подобной операцией желательно "скинуть" нужные данные на дискеты. Что уж говорить про операции с BOOT-секторами, если были случаи, когда "винт" "самоочищался" при участии Speed Disk-а и Disk Fix-а. Правда тому, кто лечил с помощью AVSP Стелз-вирусы уже ничего не страшно.

Microsoft Antivirus


В состав современных версий MS-DOS (например 6.22) входит антивирусная программа Microsoft Antivirus (MSAV). Этот антивирус может работать в режимах детектора-доктора и ревизор. MSAV имеет дружественный интерфейс в стиле MS-Windows, естественно, поддерживается мышь. Хорошо реализована контекстная помощь: подсказка есть практически к любому пункту меню, к любой ситуации. Универсально реализован доступ к пунктам меню: для этого можно использовать клавиши управления курсором, ключевые клавиши (F1-F9), клавиши, соответствующие одной из букв названия пункта, а также мышь. Флажки установок в пункте меню Options можно устанавливать как клавишей ПРОБЕЛ, так и клавишей ENTER. Серьёзным неудобством при использовании программы является то, что она сохраняет таблицы с данными о файлах не в одном файле, а разбрасывает их по всем директориям. Вот и кочуют файлики CHKLIST.MS при обмене программами от пользователя к пользователю, захламляя каталог и место на диске.

-18-

При запуске программа загружает собственный знакогенератор и читает дерево каталогов текущего диска, после чего выходит в главное меню. Не понятно, зачем читать дерево каталогов сразу при запуске : ведь пользователь может и не захотеть проверять текущий диск. В главном меню можно сменить диск (Select new drive), выбрать между проверкой без удаления вирусов (Detect) и с их удалением (Detect&Clean). При запуске проверки диска (как в режиме удаления, так и без него) программа сначала сканирует память на наличие известных ей вирусов. При этом выводится индикация проделанной работы в виде цветной полоски и процента выполненной работы. После сканирования памяти MSAV принимается за проверку непосредственно диска.

При первой проверке MSAV создает в каждой директории, содержащей исполнимые файлы, файлы CHKLIST.MS, в которые записывает информацию о размере, дате, времени, атрибутах, а также контрольную сумму контролируемых файлов. При последующих проверках программа будет сравнивать файлы с информацией в CHKLIST.MS-файлах. Если изменились размер и дата, то программа сообщит об этом пользователю и запросит о дальнейших действиях: обновить информацию (Update), установить дату и время в соответствие с данными в CHKLIST.MS (Repair), продолжить, не обращая внимания на изменения в данном файле (Continue), прервать проверку (Stop). Если изменилась контрольная сумма, то MSAV выведет такое же окно, только вместо пункта Repair будет пункт Delete (удалить), так как программа не может восстановить содержимое файла. При обнаружении вируса в режиме Detect&Clean программа удалит этот вирус. Проверку диска в обоих режимах можно приостановить, либо полностью прервать, нажав ESC (или F3) и ответив на соответствующий вопрос программы. Во время сканирования диска выводится информация о проделанной работе: процент обработанных каталогов и процент обработанных файлов в текущем каталоге. Эта информация выдается также наглядно, в виде цветной полоски, как и при проверке памяти. В конце проверки MSAV выдает отчет в виде таблицы, в которой сообщается о колличестве проверенных жестких дисков и гибких дис-

-19-

ков, о колличестве проверенных, инфицированных и вылеченных файлов. Кроме того выводится время сканирования.

В меню Options можно сконфигурировать программу по собственному желанию. Здесь можно установить режим поиска вирусов-невидимок (Anti-Stealth), проверки всех (а не только исполнимых) файлов (Check All Files), а также разрешить или запретить создавать таблицы CHKLIST.MS (Create New Checksums). К тому же можно задать режим сохранения отчета о проделанной работе в файле. Если установить опцию Create Backup, то перед удалением вируса из зараженного файла его копия будет сохранена с расширением.VIR

Находясь в основном меню, можно просмотреть список вирусов, известных программе MSAV, нажав клавишу F9. При этом выведется окно с названиями вирусов. Чтобы посмотреть более подробную информацию о вирусе, нужно подвести курсор к его имени и нажат ENTER. Можно быстро перейти к интересующему вирусу, набрав первые буквы его имени. Информацию о вирусе можно вывести на принтер, выбрав соответствующий пункт меню.


ADINF

(Advanced Diskinfoscope)


ADinf относится к классу программ-ревизоров. Антивирус имеет высокую скорость работы, способен с успехом противостоять вирусам, находящимся в памяти. Он позволяет контролировать диск, читая его по секторам через BIOS и не используя системные прерывания DOS, которые может перехватить вирус. Программа ADinf получила первый приз на Втором Всесоюзном конкурсе антивирусных программ в 1990 году, а также второй приз на конкурсе Borland Contest'93.

В отличие от AVSP, в котором пользователю приходится самому анализировать, заражена ли машина Stealth-вирусом, загружаясь сначала с винчестера, а потом с эталонной дискеты, в ADinf этаоперация происходит автоматически. Это происходит благодаря оригинальному алгоритму

-20-

противодействия этим вирусам-"невидимкам" , суть которого заключается в том, что сначала диск читается непосредственно через BIOS, а потом - с помощью DOS. Если информация будет отличаться, то в системе Стелз-вирус. ADinf был единственным антивирусом, который летом 1991 года обнаружил вирус DIR, построенный на принципиально новом способе заражения и маскировки.

Для лечения заражённых файлов применяется модуль ADinf Cure Module, не входящий в пакет ADinf и поставляющийся отдельно. Принцип работы модуля - сохр