ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Комп'ютерні віруси
         

     

    Кибернетика
    Вступ

    При роботі з сучасним персональним комп'ютером користувача (а особливо початківця) може підстерігати безліч неприємностей: втрата даних, зависання системи, вихід з ладу окремих частин комп'ютера та інші. Однією з причин цих проблем поряд з помилками в програмному забезпеченні і невмілими діями самого оператора ПЕОМ можуть бути проникли в систему комп'ютерні віруси.
    Комп'ютерний вірус - це спеціально написана невелика за розміром програма, яка може "приписувати" себе до інших програм (тобто "заражати" їх), а також виконувати різні небажані дії на комп'ютері. Програма, всередині якої знаходиться вірус, називається "зараженої". Коли така програма починає роботу, то спочатку управління отримує вірус. Вірус знаходить і "заражає" інші програми, а також виконує які-небудь шкідливі дії (наприклад, псує файли або таблицю розміщення файлів на диску, "засмічує" оперативну пам'ять і т.д.). Для маскування вірусу дії по зараженню інших програм і нанесення шкоди можуть виконуватися не завжди, а, скажімо, при виконанні певних умов. Після того як вірус виконає потрібні йому дії, він передає управління тій програмі, в якій він знаходиться, і вона працює так само, як звичайно. Тим самим зовні робота зараженої програми виглядає так само, як і незараженою. Ці програми подібно біологічним вірусам розмножуються, записуючись в системні області диска або приписуючи до файлів, і виробляють різні небажані дії, які, найчастіше, мають катастрофічні наслідки. Щоб не стати жертвою цієї напасті, кожному користувачеві слід добре знати принципи захисту від комп'ютерних вірусів.
    З давніх часів відомо, що до будь-якого яду рано чи пізно можна знайти протиотруту. Таким протиотрутою у комп'ютерному світі стали програми, які називаються антивірусними. Ці програми можна класифікувати за п'ятьма основними групами: фільтри, детектори, ревізори, доктора і вакцинатори.
    Антивіруси-фільтри - це резидентні програми, які повідомляють користувача про всі спроби будь-якої програми записатися на диск, а вже тим більше відформатувати його, а також про інших підозрілих діях (наприклад, про спроби змінити установки CMOS). При цьому виводиться запит про дозвіл або заборону даної дії. Принцип роботи цих програм заснований на перехоплення відповідних векторів переривань. До переваг програм цього класу в порівнянні з програмами-детекторами можна віднести універсальність по відношенню як до відомих, так і невідомих вірусів, тоді як детектори пишуться під конкретні, відомі на даний момент програмісту види. Це особливо актуально зараз, коли з'явилося безліч вірусів-мутантів, що не мають постійного коду. Однак програми-фільтри не можуть відслідковувати віруси, які звертаються безпосередньо до BIOS, а також BOOT-віруси, що активізують ще до запуску антивірусу, у початковій стадії завантаження DOS, До недоліків також можна віднести часту видачу запитів на здійснення будь-які операції: по всіх питаннях віднімають у користувача багато часу і діють йому на нерви. При установці деяких антивірусів-фільтрів можуть виникати конфлікти з іншими резидентними програмами, що використовують ті ж переривання, які просто перестають працювати.
    Найбільше поширення в нашій країні отримали програми-детектори, а вірніше програми, що поєднують у собі детектор і лікар. Найбільш відомі представники цього класу - Aidstest, Doctor Web, MicroSoft AntiVirus далі будуть розглянуті детальніше. Антивіруси-детектори розраховані на конкретні віруси і засновані на порівнянні послідовності кодів що містяться в тілі вірусу з кодами перевіряються програм. Такі програми потрібно регулярно оновлювати, так як вони швидко старіють і не можуть виявляти нові віруси.
    Ревізори - програми, які аналізують поточний стан файлів і системних областей диска і порівнюють його з інформацією, що зберігається раніше в одному з файлів даних ревізора. При цьому перевіряється стан BOOT-сектора, таблиці FAT, а також довжина файлів, їх час створення, атрибути, контрольна сума. Аналізуючи повідомлення програми-ревізора, користувач може вирішити, чим викликані зміни: вірусом чи ні. При видачі такого роду повідомлень не слід піддаватися паніці, тому що причиною змін, наприклад, довжини програми може бути зовсім і не вірус. Так був випадок, коли один починаючий користувач не на жарт перелякався, коли антивірус AVSP видав йому повідомлення про зміни у файлі CONFIG.SYS. Виявилося, що до цього на комп'ютер була здійснена інсталяція менеджера пам'яті QEMM, який пише свій драйвер в CONFIG.SYS.


    Прояв наявності вірусу в роботі на ПЕОМ

    Всі дії вірусу можуть виконуватися достатньо швидко і без будь-яких повідомлень, тому користувачеві дуже важко помітити, що в комп'ютері відбувається щось незвичайне.
    Поки на комп'ютері заражене відносно мало програм, наявність вірусу може бути практично непомітно. Однак після деякого часу на комп'ютері діється щось дивне, наприклад:
    > Деякі програми перестають працювати або починають працювати неправильно;
    > На екран виводяться сторонні повідомлення, символи і т.д.;
    > Робота на комп'ютері істотно сповільнюється;
    > Деякі файли виявляються зіпсованими і т.д.
    До цього моменту, як правило, вже досить багато (або навіть більшість) програм є зараженими вірусом, а деякі файли і диски - зіпсованими. Більш того, заражені програми з одного комп'ютера могли бути перенесені за допомогою дискет або по локальній мережі на інші комп'ютери.
    Деякі види вірусів ведуть себе ще більш підступно. Вони спочатку непомітно заражають велику кількість програм або дисків, а потім завдають дуже серйозні пошкодження, наприклад, формують весь жорсткий диск на комп'ютері. А бувають віруси, які намагаються вести себе як можна більше непомітно, але потроху і поступово псують дані на жорсткому диску комп'ютера.
    Таким чином, якщо не вживати заходів щодо захисту від вірусу, то наслідки зараження комп'ютера можуть бути дуже серйозними.

    Різновиди комп'ютерних вірусів

    Кожна конкретна різновид вірусу може заражати тільки один або два типи файлів. Найчастіше зустрічаються віруси, що заражають здійснимих файли. Деякі віруси заражають і файли, і завантажувальні області дисків. Віруси, що заражають драйвери пристроїв, зустрічаються вкрай рідко, зазвичай такі віруси вміють заражати і виконані файли.
    Останнім часом набули поширення віруси нового типу - віруси, що мають файлову систему на диску. Ці віруси зазвичай називаються DIR. Такі віруси ховають своє тіло в деякий ділянку диску (зазвичай - в останній кластер диска) і позначають його в таблиці розміщення файлів (FAT) як кінець файлу.
    Щоб запобігти своє виявлення, деякі віруси застосовують досить хитрі прийоми маскування. Я розповім про два з них: "невидимих" і самомодіфіцірующіхся віруси.
    "Невидимий" віруси. Багато резидентні віруси (і файлові, і завантажувальні) запобігають своє виявлення тим, що перехоплюють звернення DOS (і тим самим прикладних програм) до заражених файлів і областях диска і видають їх у вихідному (незараженою) вигляді. Зрозуміло, цей ефект спостерігається тільки на зараженому комп'ютері - на "чистому" комп'ютері зміни у файлах і завантажувальних областях диска можна легко виявити.
    САМОМОДІФІЦІРУЮЩІЕСЯ віруси. Інший спосіб, який застосовується вірусами для того, щоб сховатися від виявлення, - модифікація свого тіла. Багато вірусів зберігають велику частину свого тіла в закодованому вигляді, щоб з допомогою дизассемблер не можна було розібратися в механізмі їх роботи. Самомодіфіцірующіеся віруси використовують цей прийом і часто змінюють параметри цієї кодування, а, крім того, змінюють і свою стартову частину, яка служить для розкодування інших команд вірусу. Таким чином, в тілі такого вірусу не є ні одні з сталого ланцюжка байтів, по якій можна було б ідентифікувати вірус. Це, звичайно, ускладнює знаходження таких вірусів програмами-детекторами.

    Методи захисту від комп'ютерних вірусів

    Яким би не був вірус, користувачеві необхідно знати основні методи захисту від комп'ютерних вірусів.
    Для захисту від вірусів можна використовувати:
    > Загальні засоби захисту інформації, які корисні також і як страховка від фізичного псування дисків, неправильно працюючих програм або помилкових дій користувача;
    > Профілактичні заходи, що дозволяють зменшити ймовірність зараження вірусом;
    > Спеціалізовані програми для захисту від вірусів.
    Загальні засоби захисту інформації корисні не тільки для захисту від вірусів. Є дві основні різновиди цих коштів:
    > Копіювання інформації - створення копій файлів і системних областей дисків;
    > Розмежування доступу запобігає несанкціоноване використання інформації, зокрема, захист від змін програм і даних вірусами, неправильно працюючими програмами та помилковими діями користувачів.
    Незважаючи на те, що загальні засоби захисту інформації дуже важливі для захисту від вірусів, все ж їх недостатньо. Необхідно і застосування спеціалізованих програм для захисту від вірусів. Ці програми можна розділити на кілька видів: детектори, доктора (фаги), ревізори, доктори-ревізори, фільтри та вакцини (іммунізатори).
    ПРОГРАМИ-ДЕТЕКТОРИ дозволяють виявляти файли, заражені одним з декількох відомих вірусів. Ці програми перевіряють, чи є у файлах на вказаному користувачем диску специфічна для даного вірусу комбінація байтів. При її виявленні в будь-якому файлі на екран виводиться відповідне повідомлення. Багато детектори мають режими лікування або знищення заражених файлів. Слід підкреслити, що програми-детектори можуть виявляти тільки ті віруси, які їй "відомі". Програма Scan фірми McAfee Associates і Aidstest Д. Н. Лозинського дозволяють виявляти близько 9000 вірусів, але всього їх більше двадцяти тисяч! Деякі програми-детектори, наприклад Norton AntiVirus або AVSP фірми "Диалог-МГУ", можуть настроювати на нові типи вірусів, їм необхідно лише вказати комбінації байтів, властиві цих вірусів. Тим не думка неможливо розробити таку програму, яка могла б виявляти будь-який заздалегідь невідомий вірус.
    Таким чином, з того, що програма не розпізнається детекторами як заражена, не випливає, що вона здорова - у ній можуть сидіти який-небудь новий вірус або злегка модифікована версія старого вірусу, невідомі програмами-детекторів.
    Багато програми-детектори (у тому числі і Aidstest) не вміють виявляти зараження "невидимими" вірусами, якщо такий вірус активний в пам'яті комп'ютера. Справа в тому, що для читання диска вони використовують функції DOS, а вони перехоплюються вірусом, який говорить, що все добре. Правда, Aidstest та інші детектори намагаються виявити вірус шляхом перегляду оперативної пам'яті, але проти деяких "хитрих" вірусів це не допомагає. Так що надійний діагноз програми-детектори дають тільки при завантаженні DOS з "чистою", захищеної від запису дискети, при цьому копія програми-детектора також повинна бути запущена з цієї дискети.
    Деякі детектори (скажімо ADinf фірми "Діалог-Наука") вміють ловити "невидимі" віруси, навіть коли вони активні. Для цього вони читають диск, не використовуючи виклики DOS. Щоправда, цей метод працює не на всіх дисководах.
    Більшість програм-детекторів мають функцію "доктора", тобто вони намагаються повернути заражені файли або області диска в їх початковий стан. Ті файли, які не вдалося відновити, як правило, робляться непрацездатними або видаляються.
    Більшість програм-докторів вміють "лікувати" тільки від деякого фіксованого набору вірусів, тому вони швидко старіють. Але деякі програми можуть навчатися не тільки способам виявлення, але і способів лікування нових вірусів. До таких програм відноситься AVSP фірми "Диалог-МГУ".
    ПРОГРАМИ-ревізор мають дві стадії роботи. Спочатку вони запам'ятовують відомості про стан програм і системних областей дисків (завантажувального сектора і сектора з таблицею розбиття жорсткого диска). Передбачається, що в цей момент програми та системні області дисків не заражені. Після цього за допомогою програми-ревізора можна в будь-який момент порівняти стан програм і системних областей дисків з вихідним. Про виявлені невідповідності повідомляється користувачеві.
    Щоб перевірка стану програм і дисків проходила при кожному завантаженні операційної системи, необхідно включити команду запуску програми-ревізора в командний файл AUTOEXEC.BAT. Це дозволяє виявити зараження комп'ютерним вірусом, коли він ще не встиг завдати великої шкоди. Більше того, та ж програма-ревізор зможе знайти ушкоджені вірусом файли.
    Багато програми-ревізори є досить "інтелектуальними" - вони можуть відрізняти зміни у файлах, викликані, наприклад, переходом до нової версії програми, від змін, що вносяться вірусом, і не піднімають помилкової тривоги. Справа в тому, що віруси зазвичай змінюють файли дуже специфічним чином і виробляють однакові зміни в різних програмних файлах. Зрозуміло, що в нормальній ситуації такі зміни практично ніколи не зустрічаються, тому програма-ревізор, зафіксувавши факт таких змін, може з упевненістю повідомити, що вони викликані саме вірусом.
    Інші програми часто використовують різні напівзаходи - намагаються виявити вірус в оперативній пам'яті, вимагають виклики з першого рядка файлу AUTOEXEC.BAT, сподіваючись працювати на "чистому" комп'ютері, і т.д. На жаль, проти деяких "хитрих" вірусів все це марно.
    Для перевірки того, чи не змінився файл, деякі програми-ревізори перевіряють довжину файлу. Але ця перевірка недостатня - деякі віруси не змінюють довжину заражених файлів. Більш надійна перевірка - прочитати весь файл і обчислити його контрольну суму. Змінити файл так, щоб його контрольна сума залишилася колишньою, практично неможливо.
    Останнім часом з'явилися дуже корисні гібриди ревізорів і докторів, тобто ДОКТОРА-ревізора, - програми, які не тільки виявляють зміни у файлах і системних областях дисків, а й можуть у разі змін автоматично повернути їх в початковий стан. Такі програми можуть бути набагато більш універсальними, ніж програми-доктори, оскільки при лікуванні вони використовують заздалегідь збережену інформацію про стан файлів і областей дисків. Це дозволяє їм використати файли навіть від тих вірусів, які не були створені на момент написання програми.
    Але вони можуть лікувати не від усіх вірусів, а тільки від тих, які використовують "стандартні", відомі на момент написання програми, механізми зараження файлів.
    Існують також ПРОГРАМИ-ФІЛЬТРИ, які розташовуються резидентної в оперативній пам'яті комп'ютера і перехоплюють ті звернення до операційної системи, що використовуються вірусами для розмноження і нанесення шкоди, і повідомляють про них користувача. Користувач може дозволити або заборонити виконання відповідної операції.
    Деякі програми-фільтри не "ловлять" підозрілі дії, а перевіряють викликаються на виконання програми на наявність вірусів. Це викликає уповільнення роботи комп'ютера.
    Однак переваги використання програм-фільтрів дуже значні - вони дозволяють виявити багато вірусів на самій ранній стадії, коли вірус ще не встиг розмножитися і що-небудь зіпсувати. Тим самим можна звести збитки від вірусу до мінімуму.
    ПРОГРАМИ-ВАКЦИНИ, або ІММУНІЗАТОРИ, модифікують програми і диски таким чином, що це не відбивається на роботі програм, але той вірус, від якого здійснюється вакцинація, вважає ці програми або диски вже зараженими. Ці програми є вкрай неефективним.

    AIDSTEST

    У нашій країні, як вже було сказано вище, особливої популярності набули антивірусні програми, що поєднують в собі функції детекторів і докторів. Найвідомішою з них є програма AIDSTEST Д.М. Лозинського. В Україні практично на кожному IBM-сумісному персональному комп'ютері є одна з версій цієї програми. Одна з останніх версія виявляє більш 8000 вірусів.
    Aidstest для свого нормального функціонування вимагає, щоб в пам'яті не було резидентних антивірусів, які блокують запис у програмні файли, тому їх слід вивантажити, або, вказавши опцію вивантаження самої резід?? нтной програмі, або скористатися відповідною утилітою.
    При запуску Aidstest перевіряє себе оперативну пам'ять на наявність відомих їй вірусів і знешкоджує їх. При цьому паралізуються тільки функції вірусу, пов'язані з розмноженням, а інші побічні ефекти можуть залишатися. Тому програма після закінчення знешкодження вірусу в пам'яті видає запит про перезавантаження. Слід обов'язково наслідувати цієї поради, якщо оператор ПЕОМ не є системним програмістом, що займається вивченням властивостей вірусів. При чому слід перезавантажитися кнопкою RESET, тому що при "теплою перезавантаження" деякі віруси можуть зберігатися. До того ж, краще запустити машину і Aidstest з захищеної від запису дискети, тому що при запуску з зараженого диска вірус може записатися на згадку резидентом і перешкоджати лікуванню.
    Aidstest тестує своє тіло на наявність відомих вірусів, а також по перекручувань у своєму коді судить про своє зараження невідомим вірусом. При цьому можливі випадки помилкової тривоги, наприклад при стисненні антивіруса пакувальником. Программа немає графічного інтерфейсу, та режими її роботи задаються за допомогою ключів. Вказавши шлях, можна перевірити не весь диск, а окремий підкаталогу.
    Як показала практика, найбільш оптимальний режим для щоденної роботи задається ключами/g (перевірка всіх файлів, а не тільки з розширенням EXE, COM, SYS) та/s (повільна перевірка). Збільшення часу при таких опціях практично не відчутно, зате вірогідність виявлення на порядок вище.
    При звичайному тестуванні не слід ставити ключ/f (виправлення заражених програм і стирання не підлягають відновленню), навіть з ключем/q (видавати запит про видалення файлу), оскільки будь-яка програма, у тому числі і антивірусна, не застрахована від помилок. Ключ/f слід використовувати тоді, коли Aidstest, а також інші антивіруси вказують на наявність вірусу в будь-якому файлі. При цьому слід перезапустити комп'ютер з захищеної від запису дискети, тому що система може бути заражена резидентним вірусом, і тоді лікування буде неефективним, а то й просто небезпечним. При виявленні вірусу в цінне фото слід переписати його на дискету, а ще краще - на електронний, диск і там спробувати вилікувати за допомогою вказівки Aidstest-у Опції/f. Якщо спроба не матиме успіх, то треба видалити всі заражені копії файлу, щоб переглянути диск знову. Якщо у файлі міститься важлива інформація, яку стирати шкода, то можна помістити його в архів фото і почекати виходу нової версії Aidstest або іншого антивіруса, здатної лікувати цей тип вірусу. Для прискорення процесу можна направити заражений файл в якості зразка Лозинському.
    Для створення у файлі протоколу роботи програми Aidstest служить ключ/p. Протокол виявляється за потрібне, коли користувач не встигає переглянути імена заражених файлів. Для підтримки антивірусного програмно - апаратного комплексу Sheriff (далі буде розглянуто детальніше), служить ключ/z.

    DOCTOR WEB

    Останнім часом стрімко зростає популярність іншої антивірусної програми - Doctor Web. Dr.Web так само, як і Aidstest відноситься до класу детекторів - докторів, але на відміну від останнього, має так званий "евристичний аналізатор" - алгоритм, що дозволяє виявляти невідомі віруси. "Лікувальна павутина", як перекладається з англійської назва програми, стала відповіддю вітчизняних програмістів на навалу самомодіфіцірующіхся вірусів-мутантів. Останні при розмноженні модифікують своє тіло так, що не залишається ні однією характерною ланцюжка байт, яка була присутня у вихідній версії вірусу. Dr.Web можна назвати антивирусом нового покоління в порівнянні з Aidstest та його аналогами.
    Управління режимами також як і в Aidstest здійснюється за допомогою ключів. Користувач може вказати програмі, тестувати як весь диск, так і окремі підкаталоги або групи файлів, або ж відмовитися від перевірки дисків і тестувати тільки оперативну пам'ять. У свою чергу можна тестувати або тільки базову пам'ять, або, до того ж, ще й розширену (вказується за допомогою ключа/H). Як і Aidstest Doctor Web може створювати звіт про роботу (ключ/P), завантажувати знакогенератор Кирилиці (ключ/R), підтримує роботу з програмно-апаратним комплексом Sheriff (ключ/Z).
    Але, звичайно, головною особливістю "Лікувальної павутини" є наявність евристичного аналізатора, який підключається ключем/S. Балансу між швидкістю і якістю можна добитися, вказавши ключу рівень евристичного аналізу: 0 - мінімальний, 1 - оптимальний, 2 - максимальний; при цьому, природно, швидкість зменшується пропорційно до збільшення якості. До того ж Dr.Web дозволяє тестувати файли, вакциновані CPAV, а також упаковані LZEXE, PKLITE, DIET. Для цього слід вказати ключ/U (при цьому розпакування файлів буде проведена на поточному пристрої) або/U диск: (де диск: - пристрій, на якому буде проводитись розпакування), якщо дискета, з якої запущено Doctor Web захищена від запису. Багато програм упаковані в такий спосіб, хоча користувач може і не підозрювати про це. Якщо ключ/U не встановлено, то Doctor Web може пропустити вірус, який забрався у запаковану програму.
    Важливою функцією є контроль зараження тестованих файлів резидентним вірусом (ключ/V). При скануванні пам'яті немає стовідсоткової гарантії, що "Лікувальна павутина" виявить всі віруси, що знаходяться там. Так от, при завданні функції/V Dr.Web намагається перешкодити залишилися резидентним вірусам заразити тестовані файли.
    Тестування вінчестера Dr.Web-ом займає на багато більше часу, ніж Aidstest-му, тому не кожен користувач може собі дозволити витрачати стільки часу на щоденну перевірку всього жорсткого диска. Таким користувачам можна порадити ретельніше (з опцією/S2) перевіряти принесені ззовні дискети. Якщо інформація на дискеті знаходиться в архіві (а останнім часом програми і дані переносяться з машини на машину тільки в такому вигляді; навіть фірми-виробники програмного забезпечення, наприклад Borland, пакують свою продукцію), слід розпакувати його в окремий каталог на жорсткому диску і одразу ж, не відкладаючи, запустити Dr.Web, задавши йому як параметр замість імені диска повний шлях до цього підкаталогу. І все ж потрібно хоча б раз на два тижні робити повну перевірку "вінчестера" на віруси із завданням максимального рівня евристичного аналізу.
    Так само як і у випадку з Aidstest при початковому тестуванні не варто дозволяти програмі лікувати файли, в яких вона виявить вірус, тому що не можна виключити, що послідовність байт, прийнята в антивірусі за шаблон може зустрітися в здорової програмі. Якщо після закінчення тестування Dr.Web видасть повідомлення про те, що знайшов віруси, потрібно запустити його з опцією/P (якщо ця опція не була вказана) для того, щоб подивитися, який файл заражений. Після цього потрібно скопіювати файл на дискету або на електронний диск і спробувати видалити, вказавши "Лікувальної павутині" ключ/F. При невдалому лікуванні слід вчинити так само, як в аналогічній ситуації, описаної вище для програми Aidstest.
    Для щоденної роботи з дискетами можна порадити наступну конфігурацію: web/A/S2/V/O/U/H, де/A - перевіряти всі файли,/S2 - евристичний аналізатор,/V - перевіряти резидентним зараження вірусом,/O - виводити повідомлення OK для незаражених файлів,/U - перевіряти запаковані (але не архівовані!) файли,/H - тестувати верхню пам'ять.
    Щоб весь час не набирати одну і ту ж послідовність ключів, можна включити в меню користувача (USER MENU) оболонки NORTON COMMANDER (або ДОС-НАВИГАТОР, якщо використовується остання) пункти виклику Dr.Web і Aidstest, або створити командний файл. Це не тільки заощадить час, але і дозволить зменшити обсяг змінних оточення DOS, тому що тепер не потрібно буде вказувати в команді PATH файлу AUTOEXEC.BAT підкаталог з антивірусними програмами (деякі роблять це для оперативного звернення до антивірусам).

    AVSP
    (Anti-Virus Software Protection)

    Цікавим програмним продуктом є антивірус AVSP. Ця програма поєднує в собі і детектор, і лікар, і ревізор, і навіть має деякі функції резидентного фільтра (заборона запису у файли з атрибутом READ ONLY). Антивірус може лікувати як відомі, так і невідомі віруси, при чому про спосіб лікування останніх програмі може повідомити сам користувач. До того ж AVSP може лікувати самомодіфіцірующіеся і Stealth-віруси (невидимки).
    При запуску AVSP з'являється система вікон з меню та інформація про стан програми. Дуже зручна контекстна система підказок, яка дає пояснення до кожного пункту меню. Вона викликається класично, клавішею F1, і змінюється при переході від пункту до пункту. Так само не маловажним гідністю в наше століття Windows-ів і "піввісь" (OS/2) є підтримка миші. Істотний недолік інтерфейсу AVSP - відсутність можливості вибору пунктів меню натисканням клавіші з відповідною буквою, хоча це дещо компенсується можливістю вибрати пункт, натиснувши ALT і цифру, що відповідає номеру цього пункту. />
    Ще одна функція AVSP.SYS - відключення на час роботи AVSP.EXE резидентних вірусів, правда разом з вірусами драйвер відключає і деякі інші резидентні програми. Для перевірки цього факту мною були завантажені дві програми-пародії на віруси: один перевертає екран, а інша перетворює на біжать хвилясті лінії вертикальні прямі (наприклад, вертикальні утворюють панелей програми Norton Commander). При запуску AVSP повернув екран в нормальний стан, але "хвилі" на боках рамок залишилися, правда, вони і не переміщувалися, а стояли на місці. Коли Ви робите іншого пункту меню його прямі бічні рамки також перетворювалися на хвилясті, хоча і нерухомі. З цього можна зробити висновок, що AVSP не повністю відключає резидентні програми. Більш дивно повів себе ADinf: зробивши тестування в "перевернутому" вигляді він видав, що вірусів не виявлено, після чого "завис" (правда, вийти з цього стану вдалося клавішами CTRL/BREAK).
    При першому запуску AVSP слід протестувати систему на наявність відомих вірусів, вибравши пункти меню "Пошук і видалення вірусів" і "Комплексна перевірка". При цьому перевіряється оперативна пам'ять, BOOT-сектор і файли. Після цього (якщо вірусів не виявлено) потрібно створити таблиці даних про файлах і системних областях, вибравши в основному меню пункт "Дані про файли та віруси" та підменю "Створення файлів даних". При цьому на диску в каталозі/AVSP будуть створені файли DISKDATA.DTL (дані про розміри і контрольні суми файлів), MBOOT.DTL (копія Master Boot сектора) і BOOT.DTL (копія DOS Boot сектора). Тепер при комплексній перевірці AVSP буде порівнювати файли на диску з інформацією, що міститься в цих файлах даних. Ця інформація може бути використана для аналізу змін, що відбулися у файлах і Boot-секторах, а також для пошуку і лікування невідомих вірусів. Причому в ряді випадків можна відновлювати навіть файли, зіпсовані невідомим вірусом.
    Вказати програмі, що саме потрібно перевіряти, користувач може за допомогою пункту "Встановлення параметрів". Можна встановити перевірку розмірів файлів, їх контрольних сум, наявність в них вірусів, або все це разом. Для цього потрібно встановити "прапорці" напроти відповідних пунктів. Так само можна вказати, що саме перевіряти (Boot-сектор, пам'ять, або файли). Як і в більшості антивірусних програм, тут користувачеві надається можливість вибрати між швидкістю і якістю. Суть швидкісний перевірки полягає в тому, що є видимим не весь файл, а тільки його початок; при цьому вдається виявити більшість вірусів. Якщо ж вірус пишеться в середину, або файл заражений декількома вірусами (при цьому "старі" віруси як би відтісняються в середину "молодим") то програма його і не помітить. Тому слід встановити оптимізацію за якістю, тим більше що в AVSP якісне тестування займає не набагато більше часу, ніж швидкісне.
    Всі операції, наприклад, для пошуку вірусів, можуть вироблятися на поточному диску (за замовчуванням), по поточному шляху, а також на всіх дисках. Для того щоб змінити шлях або диск слід натиснути клавішу TAB. Під час роботи інформація про шлях виводиться у верхньому лівому куті.
    Для перевірки комп'ютера на наявність відомих вірусів потрібно в основному меню вибрати пункт "Пошук і видалення вірусів". Після цього можна вибрати або режим "Перевірка наявності вірусів", або режим "Комплексна перевірка". У першому випадку буде проведена перевірка файлів і завантажувальних секторів на відомі віруси, а в другому - будуть перевірені не тільки файли і BOOT-сектора, але й пам'ять. До того ж програма порівняє стан системи з даними, збереженими в файлах DISKDATA.DTL, MBOOT.DTL і BOOT.DTL.
    Спочатку програма зробить попередній прохід для оцінки обсягу майбутньої роботи, а потім перегляне всі програмні файли. В будь-який користувач може натиснути ESC для переривання перегляду або пробіл для тимчасової зупинки. За замовчуванням AVSP перевіряє розміри файлів. Якщо розмір змінений, то перевіряється контрольна сума і будується карта зміни файлу. Якщо новий файл, то він перевіряється на наявність відомих вірусів. Під час перевірки диска в вікно, розташоване в правій частині екрана можуть виводитися різні повідомлення, наприклад, про зміну розміру файлу. Після перевірки їх все можна буде переглянути, вибравши в меню пункт "Перегляд Повідомлень". Іноді може бути видане повідомлення про підозрілих файлах. Це означає, що за деякими ознаками можна судити про те, що файл або заражений новим вірусом, або він раніше був їм заражений, але після лікування характерні для вірусу ознаки залишилися. Таке повідомлення видається також про файли, у яких дивний час створення. Наприклад, у мене AVSP "свариться" на файл PCXSHOW.EXE, у якого час створення 3:53.60. Цікавий той факт, що антивірус не "свариться" на свою демонстраційну програму (AVSP_DEM.EXE), у якої дата створення 11.11.2011 року, а час 11:11, та ще й до того ж розмір - п'ять шісток. Ймовірно, при написанні програми автор згадав, що ще існують застарілі машини, у яких немає CMOS, і дата вводиться при завантаженні.
    При комплексній перевірці AVSP виводить також імена файлів, в яких відбулися зміни, а також так звану карту змін. Якщо у більшості змінених файлів вона однакова, то, найімовірніше, у систему "закрався" якийсь вірус. Найчастіше в такій ситуації програма сама "запідозрить" недобре і запропонує внести інформацію про нього в бібліотеку. При цьому шаблон вірусу буде обраний автоматично.
    При автоматичному визначенні нових вірусів AVSP може допустити безліч помилок. Саме в ті дні, коли я займався написанням роботи, зі мною стався саме такий випадок. При перевірці жорсткого диска AVSP видав повідомлення "Знайдено невідомий вірус!" І видав запит про занесення шаблону вірусу в бібліотеку. Поглянувши на ім'я файлу, я відразу зрозумів, що наявність в ньому вірусу малоймовірно, тому що це був саморозпаковується RAR-а, який я створив за декілька хвилин до запуску антивірусу, перепакований два файли, один з яких був також SFX-архівом з тим же ім'ям, що й вийшов. Вирішивши подивитися, що буде далі, я встановив опцію створення звіту і повторно запустив комплексну перевірку. Ось фрагмент цього звіту:
    Директорія
    C: TOOLSUTILIT
    C: TOOLSUTILIT
    SPEED200.EXE:
    SPEED200.EXE: Новий
    TB.EXE:
    TB.EXE: Новий

    Директорія
    C: USERMUSICROCK
    C: USERMUSICROCK
    ROCK.EXE:
    ROCK.EXE: Новий
    PTTM.COM:
    PTTM.COM: Новий
    PSYCHO.EXE:
    PSYCHO.EXE: Новий

    Дирек?? орія
    C: DISK_ARH
    C: DISK_ARH
    DERIVE.EXE:
    DERIVE.EXE: Змінено
    - Зміна розміру: 22053 (був 170496, став 192549)
    - Можливий вірус: TP-940128

    Після відповіді на запит AVSP-а про занесення вірусу в бібліотеку, програма вивела складений нею шаблон на екран. Дизасемблювати клавішею TAB код шаблону, я побачив наступну послідовність команд:
    push es
    push cs
    pop ds
    mov cx, [000ch]
    mov si, cx
    dec si
    Така послідовність команд, а особливо дві перші (збереження відповідних регістрів) зустрічаються на початку багатьох здійснимих програм. При повторному запуску комплексної перевірки AVSP "знаходив" вірус в кожній другій EXE-програмою:

    Директорія
    C: ANTIVIR
    C: ANTIVIR
    AIDSTEST.EXE:
    AIDSTEST.EXE: заражений
    - Вірус ERU-37

    Директорія
    C: ANTIVIRADINF
    C: ANTIVIRADINF
    REVIS.EXE:
    REVIS.EXE: заражений
    - Вірус ERU-37

    Директорія
    C: DOS
    C: DOS
    MEMMAKER.EXE:
    MEMMAKER.EXE: заражений
    - Вірус ERU-37

    MSAV.EXE:
    MSAV.EXE: заражений
    - Вірус ERU-37

    >>

    Так що при автоматичному визначенні шаблону слід не полінуватися перевірити, чи дійсно це вірус і чи не буде цей шаблон зустрічатися в здорових програмах.
    Якщо в процесі AVSP виявить відомий вірус, то слід зробити ті ж дії, як і під час роботи з Aidstest і Dr.Web: скопіювати файл на диск, перезавантажитися з резервної дискети і запустити AVSP. Бажано також, щоб при цьому в пам'ять був завантажений драйвер AVSP.SYS, тому що він допомагає основній програмі лікувати Stealth-віруси. Після цього потрібно вибрати пункт меню "Видалення вірусів". Якщо в бібліотеці програми VIRUSES.INF є інформація про те, як лікувати даний вірус, то файл буде вилікували, і AVSP видасть відповідне повідомлення. При відсутності в бібліотеці інформації про спосіб лікування даного вірусу програма спробує автоматично відновити файл за допомогою інформації, що зберігається у файлах даних DISKDATA.DTL. Якщо файл вилікувати не вдасться, то, можливо, це "вірус-невидимка". Дізнатися детальніше про те, що ж за вірус "заліз" в систему можна в режимі перегляду повідомлень. Для цього потрібно підвести курсор на назву вірусу і натиснути ENTER.
    Якщо автоматично файл відновити не вдалося то можна або, як завжди, видалити його, або спробувати самостійно навчити AVSP знищувати вірус. Правда, для написання "ліки" навіть на макромови AVSP-а потрібно мати досвід в системному програмуванні і знати хоча б ази асемблера. Адже і в медицині таблетки в невмілих руках приносять більше шкоди, ніж користі. Якщо у користувача є модем, то він може надіслати в мережу "електронний оголошення" з питанням про спосіб лікування вірусу. При цьому слід вибирати достатньо відомі станції, а не аматорські BBS, в які лазять тільки любителі GIF-ів і анекдотів про поручика Ржевського.
    Для внесення і редагування інформації про віруси в меню "Дані про файли і про віруси" є підменю "Зміна інформації про віруси". При виборі цього пункту програма виводить на екран список всіх відомих їй вірусів. За списком можна пересуватися за допомогою стрілок. Щоб отримати більш повну інформацію про вірус, потрібно, підвівши ку
         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status