Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.
Категория: Рефераты
Содержание
1. Компьютерные вирусы 3
1.1. История развития вирусов 3
1.2. Опасные и неопасные вирусы 5
1.3. Заражаемые объекты 6
2. Сущность и классификация антивирусных программ 8
2.1. Aidstest 9
2.2. Doctor Web 10
2.3. Avsp 13
2.4. Microsoft Antivirus 15
2.5. Adinf 16
2.6. Avp 19
Список используемых источников 21
1. Компьютерные вирусы
1.1. История развития вирусов
Компьютерный вирус – это специально написанная, как правило, небольшая по размерам программа, которая может записывать свои копии в компьютерные про-граммы, расположенные в исполнимых файлах, системных областях дисков, драй-верах, документах и т.д., причем эти копии сохраняют возможность к «размноже-нию». Процесс внедрения вирусом своей копии в другую программу (системную область диска и т.д.) называется заражением, а программа или иной объект, содер-жащий вирус – зараженным.
Сегодня науке известно около 30 тысяч компьютерных вирусов. Как и обыч-ным вирусам, вирусам компьютерным для «размножения» нужен «носитель» - здо-ровая программа или документ, в которых они прячут участки своего программного кода. Сам вирус невелик, его размер редко измеряется килобайтами. Однако натво-рить эта «кроха» может немало. В тот момент, когда пользователь, ничего не подоз-ревая, запускает на своем компьютере зараженную программу или открывает доку-мент, вирус активизируется и заставляет компьютер следовать его, вируса, инструк-циям. Это приводит к удалению какой-либо информации, причем чаще всего – без-возвратно. Кроме этого современные вирусы могут испортить не только программы, но и «железо». Например, уничтожают содержимое BIOS материнской платы или повреждают жесткий диск.
Вирусы появились приблизительно 30 лет назад. Именно тогда, в конце 60-х, когда о ПК можно было прочитать лишь в фантастических романах, в нескольких «больших» компьютерах, располагавшихся в крупных исследовательских центрах США, обнаружились очень необычные программы. Необычны они были тем, что не выполняли распоряжения человека, как другие программы, а действовали сами по себе. Причем, своими действиями они сильно замедляли работу компьютера, но при этом ничего не портили и не размножались.
Но продлилось это недолго. Уже в 70-х годах были зарегистрированы первые настоящие вирусы, способные к размножению и получившие собственные имена: большой компьютер Univac 1108 «заболел» вирусом Pervading Animal, а компьюте-ры из семейства IBM-360/370 были заражены вирусом Christmas tree.
К 80-м годам число активных вирусов измерялось уже сотнями. А появле-ние и распространение ПК породило настоящую эпидемию – счет вирусов по-шел на тысячи. Правда, термин «компьютерный вирус» появился только в 1984 г. – впервые его использовал в своем докладе на конференции по информаци-онной безопасности сотрудник Лехайского университета США Ф. Коуэн.
Первые компьютерные вирусы были простыми и неприхотливыми – от пользо-вателей не скрывались, «скрашивали» свое разрушительное действие (удаление файлов, разрушение логической структуры диска) выводимыми на экран картинка-ми и «шутками» («Назовите точную высоту горы Килиманджаро в миллиметрах! При введении неправильного ответа все данные на вашем винчестере будут унич-тожены!»). Выявить такие вирусы было нетрудно – они «приклеивались» к испол-няемым (*.com или *.exe)файлам, изменяя их оригинальные размеры.
Позднее вирусы стали прятать свой программный код так, что ни один антиви-рус не мог его обнаружить. Такие вирусы назывались «невидимками» (stealth).
В 90-е годы вирусы стали «мутировать» - постоянно изменять свой программ-ный код, при этом пряча его в различных участках жесткого диска. Такие вирусы-мутанты стали называться «полиморфными».
Весомый вклад в распространение вирусов внес Internet. Впервые внимание общественности к проблеме Internet-вирусов было привлечено после появления зна-менитого «червя Морриса» - относительно безобидного экспериментального вируса, в результате неосторожности его создателя распространившегося по всей мировой Сети. А к 1996-1998 гг. Internet стал главным поставщиком вирусов. Возник даже целый класс Internet-вирусов, названных «троянскими». Эти программы не причи-няли вреда компьютеру и хранящейся в нем информации, зато с легкостью могли «украсть» пароль и логин для доступа к Сети, а также другую секретную информа-цию.
В 1995г., после появления операционной системы Windows 95, были зарегист-рированы вирусы, работающие под Windows 95. Примерно через полгода были об-наружены вирусы, которые действовали на документах, подготовленных в популяр-ных программах из комплекта Microsoft Office. Дело в том, что в текстовый редак-тор Microsoft Word и в табличный редактор Microsoft Excel был встроен язык про-граммирования – Visual Basic for Applications (VBA), предназначенный для создания специальных дополнений к редакторам – макросов. Эти макросы сохранялись в теле документов Microsoft Office и легко могли быть заменены вирусами. После открытия зараженного файла вирус активировался и заражал все документы Microsoft Office. Первоначально макровирусы наносили вред только текстовым документам, позднее они стали уничтожать информацию.
В течение 1998-1999 гг. мир потрясли несколько разрушительных вирусных атак: в результате деятельности вирусов Melissa, Win95.CIH и Chernobyl были выве-дены из строя около миллиона компьютеров во всех странах мира. Вирусы портили жесткий диск и уничтожали BIOS материнской платы.
Не сомнения, что вирусные атаки буду продолжаться и впредь. Поэтому поль-зователям компьютеров остается только обзавестись хорошей антивирусной про-граммой.
1.2. Опасные и неопасные вирусы
Большинство вирусов не выполняет каких-либо действий, кроме своего распро-странения (заражения других программ, дисков и т.д.) и, иногда, выдачи каких-либо сообщений или иных эффектов, придуманных автором вируса: игры, музыки, пере-загрузки компьютера, выдачи на экран разных рисунков, блокировки или изменения функций клавиш клавиатуры, замедления работы компьютера и т.д. Однако созна-тельной порчи информации эти вирусы не осуществляют. Такие вирусы условно на-зываются неопасными. Впрочем, и эти вирусы способны причинить большие непри-ятности (например, перезагрузки каждые несколько минут вообще не дадут вам ра-ботать).
Однако около трети всех видов портят данные на дисках – или сознательно, или из-за содержащихся в вирусах ошибок, скажем, из-за не вполне корректного выпол-нения некоторых действий. Если порча данных происходит лишь эпизодически и не приводит к тяжелым последствиям, то вирусы называются опасными. Если же порча данных происходит часто или вирусы причиняют значительные разрушения (фор-матирование жесткого диска, систематическое изменение данных на диске и т.д.), то вирусы называются очень опасными.
1.3. Заражаемые объекты
Компьютерные вирусы отличаются друг от друга по тому, в какие объекты они внедряются, то есть что они заражают. Некоторые вирусы могут заражать сразу не-сколько видов объектов.
Большинство вирусов распространяются, заражая исполнимые файлы, т.е. фай-лы с расширением имени .COM и .EXE, а также различные вспомогательные файлы, загружаемые при выполнении других программ. Такие вирусы называются файло-выми. Вирус в зараженных исполнимых файлах начинает свою работу при запуске той программы, в которой он находится.
Еще один распространенный вид вирусов внедряется в начальный сектор дис-кет или логических дисков, где находится загрузчик операционной системы, или в начальный сектор жестких дисков, где находится таблица разбиения жесткого диска и небольшая программа, осуществляющая загрузку с одного из разделов, указанных в этой таблице. Такие вирусы называются загрузочными, или бутовыми (от слова boot – загрузчик). Эти вирусы начинают свою работу при загрузке компьютера с за-раженного диска. Загрузочные вирусы являются резидентными и заражают встав-ляемые в компьютер дискеты. Встречаются загрузочные вирусы, заражающие также и файлы – файлово-загрузочные вирусы.
Некоторые вирусы умеют заражать драйверы, то есть файлы, указываемые в предложении DEVICE или DEVICEHIGH файла CONFIG.SYS. Вирус, находящийся в драйвере, начинает свою работу при загрузке данного драйвера из файла CONFIG.SYS при начальной загрузке компьютера. Обычно заражающие драйверы вирусы заражают также исполнимые файлы или сектора дискет, поскольку иначе им не удавалось бы распространяться – ведь драйверы очень редко переписывают с одного компьютера на другой.
Очень редко встречаются вирусы, заражающие системные файлы DOS (IO.SYS или MSDOS.SYS). Эти вирусы активизируются при загрузке компьютера. Обычно такие вирусы заражают также загрузочные сектора дискет, поскольку иначе им не удавалось бы распространяться.
Очень редкой разновидностью вирусов являются вирусы, заражающие командные файлы. Обычно эти вирусы формируют с помощью команд командного файла исполнимый файл на диске, запускают этот файл, он выполняет размножение вируса, после чего данный файл стирается. Вирус в зараженных командых файлах начинает свою работу при выполнении командного файла, в котором он находится. Иногда вызов зараженного командного файла вставляется в файл AUTOEXE.BAT.
Долгое время заражение вирусами файлов документов считалось невозмож-ным, так как документы не содержали исполнимых программ. Однако программи-сты фирмы Microsoft встроили, а документы Word для Windows мощный язык мак-рокоманд WordBasic. На этом WordBasic стало возможно писать вирусы. Запуск ви-руса происходит при открытии на редактирование зараженных документов. При этом макрокоманды вируса записываются в глобальный шаблон NORMAL.DOT, так что при новых сеансах работы с Word для Windows вирус будет автоматически ак-тивирован.
Возможно заражение и других объектов, содержащих программы в какой-либо форме – текстов программ, электронных таблиц и т.д. Например, вирус AsmVirus.238 заражает файлы программ на языке ассемблера (ASM-файлы), встав-ляя туда ассемблерные команды, которые при трансляции порождают код вируса. Однако число пользователей, программирующих на языке ассемблера, невелико, поэтому широкое распространение такого вируса невозможно.
Электронные таблицы содержат макрокоманды, в том числе и макрокоманды, автоматически выполняющиеся при открытии таблицы. Поэтому для них могут быть созданы вирусы, аналогичные вирусам для документов Word для Windows. Пока что такие вирусы были созданы для таблиц табличного процессора Excel.
Вирус является программой, поэтому объекты, не содержащие программ и не подлежащие преобразованию в программы, заражены вирусом быть не могут. Не содержащие программ объекты вирус может только испортить, но не заразить. К числу таких объектов относятся текстовые файлы (кроме командных файлов и тек-стов программ), документы простых редакторов документов типа ЛЕКСИКОНа или Multi-Edit, информационные файлы баз данных и т.д.
2. Сущность и классификация антивирусных программ
Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.
Антивирусы-фильтры - это резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки DOS, К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.
Наибольшее распространение в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - Aidstest, Doctor Web, MicroSoft AntiVirus далее будут рассмотрены подробнее. Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Многие программы-детекторы позволяют также «лечить» зараженные файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору). Такие про-граммы нужно регулярно обновлять, так как они быстро устаревают и не могут об-наруживать новые виды вирусов.
Ревизоры – это программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохранённой ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины про-граммы может быть вовсе и не вирус.
К последней группе относятся самые неэффективные антивирусы - вакцинато-ры. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.
2.1. Aidstest
В нашей стране, как уже было сказано выше, особую популярность приобрели антивирусные программы, совмещающие в себе функции детекторов и докторов. Самой известной из них является программа AIDSTEST Д.Н. Лозинского. Эта про-грамма была изобретена ее в 1988 г. и с тех пор она постоянно совершенствуется и пополняется. В России практически на каждом IBM-совместимом персональном компьютере есть одна из версий этой программы. Одна из последних версий обна-руживает более 1500 вирусов.
Программа Aidstest предназначена для исправления программ, зараженных обычными (неполиморфными) вирусами, не меняющими свой код. Это ограничение вызвано тем, что поиск вирусов этой программой ведется по опознавательным ко-дам. Зато при этом достигается очень высокая скорость проверки файлов.
Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, по-этому их следует выгрузить, либо, указав опцию выгрузки самой резидентной про-грамме, либо воспользоваться соответствующей утилитой.
При запуске Aidstest проверяет оперативную память на наличие известных ему вирусов и обезвреживает их. При этом парализуются только функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться. Поэтому программа после окончания обезвреживания вируса в памяти выдает запрос о пере-загрузке. Следует обязательно последовать этому совету, если оператор ПК не явля-ется системным программистом, занимающимся изучением свойств вирусов. При чем следует перезагрузиться кнопкой RESET, так как при "теплой перезагрузке" не-которые вирусы могут сохраняться. Вдобавок, лучше запустить машину и Aidstest с защищённой от записи дискетой, так как при запуске с зараженного диска вирус может записаться в память резидентом и препятствовать лечению.
Aidstest тестирует свое тело на наличие известных вирусов, а также по искаже-ниям в своем коде судит о своем заражении неизвестным вирусом. При это возмож-ны случаи ложной тревоги, например при сжатии антивируса упаковщиком. Про-грамма не имеет графического интерфейса, и режимы ее работы задаются с помо-щью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог.
Недостатки программы Aidstest:
Не распознает полиморфные вирусы;
Не снабжена эвристическим анализатором, позволяющим находить неизвест-ные ей вирусы;
Не умеет проверять и лечить файлы в архивах;
Не распознает вирусы в программах, обработанных упаковщиками исполни-мых файлов типа EXEPACK, DIET, PKLITE и т.д.
Достоинства Aidstest:
Легка в использовании;
Работает очень быстро;
Распознает значительную часть вирусов;
Хорошо интегрирована с программой-ревизором Adinf;
Работает практически на любом компьютере.
2.2. Doctor Web
В последнее время стремительно растет популярность другой антивирусной программы - Doctor Web, которую предлагает фирма «Диалог-Наука». Эта про-грамма была создана в 1994 г. И. А. Даниловым. Dr.Web так же, как и Aidstest отно-сится к классу детекторов - докторов, но в отличие от последнего имеет так назы-ваемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неиз-вестные вирусы. "Лечебная паутина", как переводится с английского название про-граммы, стала ответом отечественных программистов на нашествие самомодифици-рующихся вирусов-мутантов, которые при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в ис-ходной версии вируса. В пользу этой программы говорит тот факт, что крупную ли-цензию (на 2000 компьютеров) приобрело Главное управление информационных ресурсов при Президенте РФ, а второй по величине покупатель "паутины" - "Ин-комбанк".
Управление режимами также как и в Aidtest осуществляется с помощью клю-чей. Пользователь может указать программе тестировать как весь диск, так и от-дельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную. Как и Aidstest, Doctor Web может создавать отчет о работе, загружать знакогенератор Кириллицы, под-держивать работу с программно-аппаратным комплексом Sheriff.
Тестирование винчестера Dr.Web-ом занимает намного больше времени, чем Aidstest-ом, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям мож-но посоветовать более тщательно проверять принесенные извне дискеты. Если ин-формация на дискете находится в архиве (а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения, например Borland, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr.Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку "винчестера" на вирусы с заданием максимального уровня эвристического анализа.
Так же как и в случае с Aidstest при начальном тестировании не стоит разре-шать программе лечить файлы, в которых она обнаружит вирус, так как нельзя ис-ключить, что последовательность байт, принятая в антивирусе за шаблон может встретиться в здоровой программе.
В отличие от Aidstest, программа Dr.Web:
распознает полиморфные вирусы;
снабжена эвристическим анализатором;
умеет проверять и лечить файлы в архивах;
позволяет тестировать файлы, вакцинированные CPAV, а также упакованные LZEXE, PKLITE, DIET.
Фирма «Диалог-Наука» предлагает разные версии программы DrWeb для DOS. Как известно, имеются две версии для DOS, которые традиционно называются 16-разрядной и 32-разрядной (последняя также называется Doctor Web для DOS/386, DrWeb386). В этих названиях (16- и 32-разрядная) полностью отражена суть разли-чия версий для DOS, однако непосредственно из названий она очевидна лишь спе-циалистам. Лишь 32-разрядная версия обладает всеми функциональными возможно-стями, присущими другим современным версиям Doctor Web (в частности, версиям для Windows).
16-разрядная версия, в силу ограничений по объему доступной памяти, накла-дываемых операционной системой, не обладает некоторыми крайне важными на се-годняшний день "умениями", в частности, в нее не включены (и в силу указанных ограничений по памяти, не могут быть включены):
модули "обслуживания" известных вирусов современных типов (в частности, речь идет о макро- и стелс-вирусах);
модули эвристического анализатора для обнаружения неизвестных вирусов современных типов;
модули распаковки современных типов архивов и упакованных Windows-программ и проч.
Таким образом, хотя 16-разрядная версия использует ту же вирусную базу (VDB-файлы), что и 32-разрядные версии, отсутствие в ней некоторых модулей де-лает обработку соответствующих вирусов невозможной.
Кроме того, в силу тех же причин, 16-разрядная версия не поддерживает неко-торые современные программные и аппаратно-технические средства, что может сделать ее работу неустойчивой или некорректной.
Поскольку 32-разрядная версия является полнофункциональной и, как видно из другого ее названия - Doctor Web для DOS/386, может использоваться при работе в DOS на компьютерах с процессором не ниже 386, всем пользователям, нуждающим-ся в версии Doctor Web для DOS, лучше использовать именно ее.
Что же касается 16-разрядной версии, то она продолжает выпускаться, по-скольку еще существует парк старых машин на платформе 86/286, где 32-разрядная версия работать не может.
2.3. Avsp
(Anti-Virus Software Protection)
Интересным программным продуктом является антивирус AVSP. Эта програм-ма сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторые функции резидентного фильтра (запрет записи в файлы с атрибутом READ ONLY). Антиви-рус может лечить как известные, так и неизвестные вирусы, причем о способе лече-ния последних программе может сообщить сам пользователь. К тому же AVSP мо-жет лечить самомодифицирующиеся и Stealth-вирусы (невидимки).
При запуске AVSP появляется система окон с меню и информация о состоянии программы. Очень удобна контекстная система подсказок, которая дает пояснения к каждому пункту меню. Она вызывается классически, клавишей F1, и меняется при переходе от пункта к пункту. Так же не маловажным достоинством в наш век Windows-ов и "Полуосей"(OS/2) является поддержка мыши. Существенный недос-таток интерфейса AVSP - отсутствие возможности выбора пунктов меню нажатием клавиши с соответствующей буквой, хотя это несколько компенсируется возможно-стью выбрать пункт, нажав ALT и цифру, соответствующую номеру этого пункта.
В состав пакета AVSP входит также резидентный драйвер AVSP.SYS, который позволяет обнаруживать большинство невидимых вирусов (кроме вирусов типа Ghost-1963 или DIR), дезактивировать вирусы на время своей работы, а также за-прещает изменять READ ONLY файлы.
Ещё одна функция AVSP.SYS - отключение на время работы AVSP.EXE рези-дентных вирусов, правда вместе с вирусами драйвер отключает и некоторые другие резидентные программы. При первом запуске AVSP следует протестировать систе-му на наличие известных вирусов. При этом проверяется оперативная память, BOOT-сектор и файлы. В ряде случаев можно восстанавливать даже файлы, испор-ченные неизвестным вирусом. Можно установить проверку размеров файлов, их контрольных сумм, наличие в них вирусов, либо все это вместе. Так же можно ука-зать, что именно проверять (Boot-сектор, память, или файлы). Как и в большинстве антивирусных программ, здесь пользователю предоставляется возможность выбрать между скоростью и качеством. Суть скоростной проверки заключается в том, что просматривается не весь файл, а только его начало; при этом удается обнаружить большинство вирусов. Если же вирус пишется в середину, либо файл заражён не-сколькими вирусами (при этом "старые" вирусы как бы оттесняются в середину "молодым") то программа его и не заметит. Поэтому следует установить оптимиза-цию по качеству, тем более что в AVSP качественное тестирование занимает не на-много больше времени, чем скоростное.
При автоматическом определении новых вирусов AVSP может допустить мно-жество ошибок. Так что при автоматическом определении шаблона следует не по-лениться проверить, действительно ли это вирус и не будет ли этот шаблон встре-чаться в здоровых программах.
Если в процессе AVSP обнаружит известный вирус, то следует предпринять те же действия, как и при работе с Aidstest и Dr.Web: скопировать файл на диск, пере-загрузиться с резервной дискеты и запустить AVSP. Желательно также, чтобы при этом в память был загружен драйвер AVSP.SYS, так как он помогает основной про-грамме лечить Stealth-вирусы.
Ещё одной полезной функцией является встроенный дизассемблер. С его по-мощью можно разобраться, есть ли в файле вирус или при проверке диска произош-ло ложное срабатывание AVSP. Кроме того, можно попытаться выяснить способ за-ражения, принцип действия вируса, а также место, куда он "спрятал" замещённые байты файла (если мы имеем дело с таким типом вируса). Все это позволит написать процедуру удаления вируса и восстановить испорченные файлы. Ещё одна полезная функция - выдача наглядной карты изменений. Карта изменений позволяет оценить, соответствуют ли эти изменения вирусу или нет, а также сузить область поиска тела вируса при дизассемблировании.
В программе AVSP есть два алгоритма нейтрализации стелс-вирусов ("невиди-мок") и оба они работают только при наличии активного вируса в памяти. Вот, что происходит при реализации этих алгоритмов: все файлы копируются в файлы дан-ных, а потом стираются. Спасаются только файлы с атрибутом SYSTEM. В Adinf процесс удаления Stealth-ов реализован гораздо проще.
Программа AVSP контролирует также и состояние загрузочных секторов. Если заражен BOOT-сектор на дискете и антивирус не может его вылечить, то следует стереть загрузочный код. Дискета при этом станет несистемной, но данные при этом не потеряются. С винчестером так поступать нельзя. При обнаружении изменений в одном из BOOT-секторов жесткого диска AVSP предложит его сохранить в некото-ром файле, а затем попытается удалить вирус.
2.4. Microsoft Antivirus
В состав современных версий MS-DOS входит антивирусная программа Microsoft Antivirus (MSAV). Этот антивирус может работать в режимах детектора-доктора и ревизора. MSAV имеет интерфейс в стиле MS-Windows, естественно, поддерживается мышь. Хорошо реализована контекстная помощь: подсказка есть практически к любому пункту меню, к любой ситуации. Универсально реализован доступ к пунктам меню: для этого можно использовать клавиши управления курсо-ром, ключевые клавиши (F1-F9), клавиши, соответствующие одной из букв названия пункта, а также мышь. Серьёзным неудобством при использовании программы яв-ляется то, что она сохраняет таблицы с данными о файлах не в одном файле, а раз-брасывает их по всем директориям.
При запуске программа загружает собственный знакогенератор и читает дерево каталогов текущего диска, после чего выходит в главное меню. Не понятно, зачем читать дерево каталогов сразу при запуске: ведь пользователь может и не захотеть проверять текущий диск.
При первой проверке MSAV создает в каждой директории, содержащей испол-нимые файлы, файлы CHKLIST.MS, в которые записывает информацию о размере, дате, времени, атрибутах, а также контрольную сумму контролируемых файлов. При последующих проверках программа будет сравнивать файлы с информацией в CHKLIST.MS-файлах. Если изменились размер и дата, то программа сообщит об этом пользователю и запросит о дальнейших действиях: обновить информацию (Update), установить дату и время в соответствие с данными в CHKLIST.MS (Repair), продолжить, не обращая внимания на изменения в данном файле (Continue), прервать проверку (Stop)..
В меню Options можно сконфигурировать программу по собственному жела-нию. Здесь можно установить режим поиска вирусов-невидимок (Anti-Stealth), про-верки всех (а не только исполнимых) файлов (Check All Files), а также разрешить или запретить создавать таблицы CHKLIST.MS (Create New Checksums). К тому же можно задать режим сохранения отчета о проделанной работе в файле. Если устано-вить опцию Create Backup, то перед удалением вируса из зараженного файла его ко-пия будет сохранена с расширением VIR.
Находясь в основном меню, можно просмотреть список вирусов, известных программе MSAV, нажав клавишу F9. При этом выведется окно с названиями виру-сов. Чтобы посмотреть более подробную информацию о вирусе, нужно подвести курсор к его имени и нажать ENTER. Можно быстро перейти к интересующему ви-русу, набрав первые буквы его имени. Информацию о вирусе можно вывести на принтер, выбрав соответствующий пункт меню.
2.5. Adinf
(Advanced Diskinfoscope)
ADinf относится к классу программ-ревизоров. Эта программа была создана Д. Ю. Мостовым в 1991 г.
Семейство программ ADinf – это ревизоры дисков, предназначенные для рабо-ты на персональных компьютерах под управлением операционных систем MS-DOS, MS-Windows 3.xx, Windows 95/98 и Windows NT/2000/XP. Работа программ основа-на на регулярном отслеживании изменений, происходящих на жестких дисках. В случае появления вируса, ADinf обнаруживает его по тем модификациям, которые он выполняет в файловой системе и/или загрузочном секторе диска и информирует об этом пользователя. В отличие от антивирусов-сканеров, ADinf не использует в своей работе "портретов" (сигнатур) конкретных вирусов. Поэтому ADinf особенно эффективен для обнаружения новых вирусов, противоядие для которых еще не при-думано.
Особенно следует отметить, что для контроля дисков ADinf не использует функции операционной системы. Он читает диск по секторам и самостоятельно раз-бирает структуру файловой системы, что позволяет ему обнаруживать так называе-мые вирусы-невидимки (стелс-вирусы).
Если в системе установлен лечащий блок Adinf (ADinf Cure Module), то этот тандем способен не только обнаруживать, но и успешно удалять появившуюся зара-зу. Тестирование показало, что ADinf Cure Module способен успешно справиться с 97% вирусов, восстановив поврежденные файлы с точностью до байта.
Полезные свойства ADinf не ограничиваются только лишь борьбой с вирусами. По сути ADinf является системой, позволяющей следить за сохранностью информа-ции на дисках и обнаруживать любые, даже малозаметные изменения в файловой системе, а именно, изменения системных областей, изменения файлов, создание и удаление каталогов, создание, удаление, переименование и перемещение файлов из каталога в каталог. Состав контролируемой информации гибко настраивается, что позволяет ставить под контроль только то, что нужно.
Первая версия программы вышла в 1991 году и с тех пор ADinf заслуженно яв-ляется самым популярным ревизором в России и странах бывшего СССР. Сегодня уже трудно сосчитать число легальных и нелегальных пользователей ADinf. Более 2500 корпоративных подписчиков Антивирусного комплекта Диалог-Науки, в со-ставе которого поставляется ADinf, защищают им свои компьютеры. Программа ADinf получила сертификаты в Системе сертификации ГОСТ Р., Системе сертифи-кации средств защиты информации Министерства обороны и Сертификат Государ-ственной технической комиссии при президенте Российской федерации (в составе Антивирусного комплекта Диалог-Науки). Программа постоянно совершенствуется и все время находится на острие современных технологий.
Изначально ревизор ADinf был разработан для операционной системы MS-DOS. Затем были выпущены варианты программы для Windows 3.xx и Windows 95/98/NT/XP. Сейчас существует семейство совместимых между собой ревизоров для различных операционных систем. Все варианты ADinf сегодня поддерживают файловые системы Windows 95/98, длинные имена файлов и каталогов, разбирают внутреннюю структуру исполняемых файлов Windows 95/98 и NT/XP.
Итак, программа Adinf:
имеет высокую скорость работы;
способна с успехом противостоять вирусам, находящимся в памяти;
позволяет контролировать диск, читая его по секторам через BIOS и не используя системные прерывания DOS, которые может перехватить вирус;
может обрабатывать до 32000 файлов на каждом диске;
в отличие от AVSP, в котором пользователю приходится самому анали-зировать, заражена ли машина Stealth-вирусом, загружаясь сначала с винчестера, а потом с эталонной дискеты, в ADinf эта операция происходит автоматически;
в отличие от других антивирусов Advansed Diskinfoscope не требует за-грузки с эталонной, защищённой от записи дискеты. При загрузке с винчестера на-дежность защиты не уменьшается;
ADinf имеет хорошо выполненный дружественный интерфейс, который в отличие от AVSP реализован не в текстовом, а в графическом режиме;
при инсталляции ADinf в систему имеется возможность изменить имя основного файла ADINF.EXE и имя таблиц, при этом пользователь может задать любое имя. Это очень полезная функция, так как в последнее время появилось мно-жество вирусов, "охотящихся" за антивирусами (например, есть вирус, который из-меняет программу Aidstest так, что она вместо заставки фирмы "ДиалогНаука" пи-шет: "Лозинский - пень"), в том числе и за ADinf.
Существует несколько вариантов ревизора Adinf для различных операционных систем. Каждый из них имеет свои особенности.
Ревизор ADinf предназначен для операционных систем MS-DOS и Windows 95/98. Это развитие первого варианта ревизора, созданного еще в 1991 году. Сего-дня ADinf это самое надежное средство для обнаружения как известных, так и но-вых неизвестных вирусов. Это единственный в мире ревизор, проверяющий файло-вую систему чтением по секторам напрямую через BIOS компьютера.
Ревизор ADinf for Windows предназначен для операционной системы Windows 3.xx. Ко всем свойствам ревизора ADinf этот вариант программы добавляет удобный графический интерфейс пользователя.
Ревизор ADinf Pro предназначен для контроля за сохранностью особо ценной информации, например баз данных или документов, в среде операционных систем MS-DOS, Windows 3.xx и Windows 95/98. Особенностью этого варианта программы является использование 64-битной хэш-функции для контроля целостности файлов, разработанной известной Российской фирмой ЛАН-Крипто. Использование этой хэш-функции гарантирует не только обнаружение случайных изменений файлов или изменений, вызванных вирусами, но и делает невозможным преднамеренную незаметную модификацию данных на диске.
Ревизор ADinf32 – это 32-битное многопоточное приложение для операционных систем Windows 95/98 и Windows NT/XP с современным интерфейсом пользователя. Этот вариант программы не только обладает всеми достоинствами других вариан-тов, но и содержит много нового по сравнению с ними.
Следует заметить, что программа Adinf хорошо интегрирована с другими про-граммами комплекта DSAV фирмы «Диалог-Наука». Так, Adinf создает список но-вых и измененных файлов на диске, а Aidstest и DrWeb могут проверять файлы из этого списка, что значительно сокращает время работы этих программ.
1. Компьютерные вирусы 3
1.1. История развития вирусов 3
1.2. Опасные и неопасные вирусы 5
1.3. Заражаемые объекты 6
2. Сущность и классификация антивирусных программ 8
2.1. Aidstest 9
2.2. Doctor Web 10
2.3. Avsp 13
2.4. Microsoft Antivirus 15
2.5. Adinf 16
2.6. Avp 19
Список используемых источников 21
1. Компьютерные вирусы
1.1. История развития вирусов
Компьютерный вирус – это специально написанная, как правило, небольшая по размерам программа, которая может записывать свои копии в компьютерные про-граммы, расположенные в исполнимых файлах, системных областях дисков, драй-верах, документах и т.д., причем эти копии сохраняют возможность к «размноже-нию». Процесс внедрения вирусом своей копии в другую программу (системную область диска и т.д.) называется заражением, а программа или иной объект, содер-жащий вирус – зараженным.
Сегодня науке известно около 30 тысяч компьютерных вирусов. Как и обыч-ным вирусам, вирусам компьютерным для «размножения» нужен «носитель» - здо-ровая программа или документ, в которых они прячут участки своего программного кода. Сам вирус невелик, его размер редко измеряется килобайтами. Однако натво-рить эта «кроха» может немало. В тот момент, когда пользователь, ничего не подоз-ревая, запускает на своем компьютере зараженную программу или открывает доку-мент, вирус активизируется и заставляет компьютер следовать его, вируса, инструк-циям. Это приводит к удалению какой-либо информации, причем чаще всего – без-возвратно. Кроме этого современные вирусы могут испортить не только программы, но и «железо». Например, уничтожают содержимое BIOS материнской платы или повреждают жесткий диск.
Вирусы появились приблизительно 30 лет назад. Именно тогда, в конце 60-х, когда о ПК можно было прочитать лишь в фантастических романах, в нескольких «больших» компьютерах, располагавшихся в крупных исследовательских центрах США, обнаружились очень необычные программы. Необычны они были тем, что не выполняли распоряжения человека, как другие программы, а действовали сами по себе. Причем, своими действиями они сильно замедляли работу компьютера, но при этом ничего не портили и не размножались.
Но продлилось это недолго. Уже в 70-х годах были зарегистрированы первые настоящие вирусы, способные к размножению и получившие собственные имена: большой компьютер Univac 1108 «заболел» вирусом Pervading Animal, а компьюте-ры из семейства IBM-360/370 были заражены вирусом Christmas tree.
К 80-м годам число активных вирусов измерялось уже сотнями. А появле-ние и распространение ПК породило настоящую эпидемию – счет вирусов по-шел на тысячи. Правда, термин «компьютерный вирус» появился только в 1984 г. – впервые его использовал в своем докладе на конференции по информаци-онной безопасности сотрудник Лехайского университета США Ф. Коуэн.
Первые компьютерные вирусы были простыми и неприхотливыми – от пользо-вателей не скрывались, «скрашивали» свое разрушительное действие (удаление файлов, разрушение логической структуры диска) выводимыми на экран картинка-ми и «шутками» («Назовите точную высоту горы Килиманджаро в миллиметрах! При введении неправильного ответа все данные на вашем винчестере будут унич-тожены!»). Выявить такие вирусы было нетрудно – они «приклеивались» к испол-няемым (*.com или *.exe)файлам, изменяя их оригинальные размеры.
Позднее вирусы стали прятать свой программный код так, что ни один антиви-рус не мог его обнаружить. Такие вирусы назывались «невидимками» (stealth).
В 90-е годы вирусы стали «мутировать» - постоянно изменять свой программ-ный код, при этом пряча его в различных участках жесткого диска. Такие вирусы-мутанты стали называться «полиморфными».
Весомый вклад в распространение вирусов внес Internet. Впервые внимание общественности к проблеме Internet-вирусов было привлечено после появления зна-менитого «червя Морриса» - относительно безобидного экспериментального вируса, в результате неосторожности его создателя распространившегося по всей мировой Сети. А к 1996-1998 гг. Internet стал главным поставщиком вирусов. Возник даже целый класс Internet-вирусов, названных «троянскими». Эти программы не причи-няли вреда компьютеру и хранящейся в нем информации, зато с легкостью могли «украсть» пароль и логин для доступа к Сети, а также другую секретную информа-цию.
В 1995г., после появления операционной системы Windows 95, были зарегист-рированы вирусы, работающие под Windows 95. Примерно через полгода были об-наружены вирусы, которые действовали на документах, подготовленных в популяр-ных программах из комплекта Microsoft Office. Дело в том, что в текстовый редак-тор Microsoft Word и в табличный редактор Microsoft Excel был встроен язык про-граммирования – Visual Basic for Applications (VBA), предназначенный для создания специальных дополнений к редакторам – макросов. Эти макросы сохранялись в теле документов Microsoft Office и легко могли быть заменены вирусами. После открытия зараженного файла вирус активировался и заражал все документы Microsoft Office. Первоначально макровирусы наносили вред только текстовым документам, позднее они стали уничтожать информацию.
В течение 1998-1999 гг. мир потрясли несколько разрушительных вирусных атак: в результате деятельности вирусов Melissa, Win95.CIH и Chernobyl были выве-дены из строя около миллиона компьютеров во всех странах мира. Вирусы портили жесткий диск и уничтожали BIOS материнской платы.
Не сомнения, что вирусные атаки буду продолжаться и впредь. Поэтому поль-зователям компьютеров остается только обзавестись хорошей антивирусной про-граммой.
1.2. Опасные и неопасные вирусы
Большинство вирусов не выполняет каких-либо действий, кроме своего распро-странения (заражения других программ, дисков и т.д.) и, иногда, выдачи каких-либо сообщений или иных эффектов, придуманных автором вируса: игры, музыки, пере-загрузки компьютера, выдачи на экран разных рисунков, блокировки или изменения функций клавиш клавиатуры, замедления работы компьютера и т.д. Однако созна-тельной порчи информации эти вирусы не осуществляют. Такие вирусы условно на-зываются неопасными. Впрочем, и эти вирусы способны причинить большие непри-ятности (например, перезагрузки каждые несколько минут вообще не дадут вам ра-ботать).
Однако около трети всех видов портят данные на дисках – или сознательно, или из-за содержащихся в вирусах ошибок, скажем, из-за не вполне корректного выпол-нения некоторых действий. Если порча данных происходит лишь эпизодически и не приводит к тяжелым последствиям, то вирусы называются опасными. Если же порча данных происходит часто или вирусы причиняют значительные разрушения (фор-матирование жесткого диска, систематическое изменение данных на диске и т.д.), то вирусы называются очень опасными.
1.3. Заражаемые объекты
Компьютерные вирусы отличаются друг от друга по тому, в какие объекты они внедряются, то есть что они заражают. Некоторые вирусы могут заражать сразу не-сколько видов объектов.
Большинство вирусов распространяются, заражая исполнимые файлы, т.е. фай-лы с расширением имени .COM и .EXE, а также различные вспомогательные файлы, загружаемые при выполнении других программ. Такие вирусы называются файло-выми. Вирус в зараженных исполнимых файлах начинает свою работу при запуске той программы, в которой он находится.
Еще один распространенный вид вирусов внедряется в начальный сектор дис-кет или логических дисков, где находится загрузчик операционной системы, или в начальный сектор жестких дисков, где находится таблица разбиения жесткого диска и небольшая программа, осуществляющая загрузку с одного из разделов, указанных в этой таблице. Такие вирусы называются загрузочными, или бутовыми (от слова boot – загрузчик). Эти вирусы начинают свою работу при загрузке компьютера с за-раженного диска. Загрузочные вирусы являются резидентными и заражают встав-ляемые в компьютер дискеты. Встречаются загрузочные вирусы, заражающие также и файлы – файлово-загрузочные вирусы.
Некоторые вирусы умеют заражать драйверы, то есть файлы, указываемые в предложении DEVICE или DEVICEHIGH файла CONFIG.SYS. Вирус, находящийся в драйвере, начинает свою работу при загрузке данного драйвера из файла CONFIG.SYS при начальной загрузке компьютера. Обычно заражающие драйверы вирусы заражают также исполнимые файлы или сектора дискет, поскольку иначе им не удавалось бы распространяться – ведь драйверы очень редко переписывают с одного компьютера на другой.
Очень редко встречаются вирусы, заражающие системные файлы DOS (IO.SYS или MSDOS.SYS). Эти вирусы активизируются при загрузке компьютера. Обычно такие вирусы заражают также загрузочные сектора дискет, поскольку иначе им не удавалось бы распространяться.
Очень редкой разновидностью вирусов являются вирусы, заражающие командные файлы. Обычно эти вирусы формируют с помощью команд командного файла исполнимый файл на диске, запускают этот файл, он выполняет размножение вируса, после чего данный файл стирается. Вирус в зараженных командых файлах начинает свою работу при выполнении командного файла, в котором он находится. Иногда вызов зараженного командного файла вставляется в файл AUTOEXE.BAT.
Долгое время заражение вирусами файлов документов считалось невозмож-ным, так как документы не содержали исполнимых программ. Однако программи-сты фирмы Microsoft встроили, а документы Word для Windows мощный язык мак-рокоманд WordBasic. На этом WordBasic стало возможно писать вирусы. Запуск ви-руса происходит при открытии на редактирование зараженных документов. При этом макрокоманды вируса записываются в глобальный шаблон NORMAL.DOT, так что при новых сеансах работы с Word для Windows вирус будет автоматически ак-тивирован.
Возможно заражение и других объектов, содержащих программы в какой-либо форме – текстов программ, электронных таблиц и т.д. Например, вирус AsmVirus.238 заражает файлы программ на языке ассемблера (ASM-файлы), встав-ляя туда ассемблерные команды, которые при трансляции порождают код вируса. Однако число пользователей, программирующих на языке ассемблера, невелико, поэтому широкое распространение такого вируса невозможно.
Электронные таблицы содержат макрокоманды, в том числе и макрокоманды, автоматически выполняющиеся при открытии таблицы. Поэтому для них могут быть созданы вирусы, аналогичные вирусам для документов Word для Windows. Пока что такие вирусы были созданы для таблиц табличного процессора Excel.
Вирус является программой, поэтому объекты, не содержащие программ и не подлежащие преобразованию в программы, заражены вирусом быть не могут. Не содержащие программ объекты вирус может только испортить, но не заразить. К числу таких объектов относятся текстовые файлы (кроме командных файлов и тек-стов программ), документы простых редакторов документов типа ЛЕКСИКОНа или Multi-Edit, информационные файлы баз данных и т.д.
2. Сущность и классификация антивирусных программ
Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.
Антивирусы-фильтры - это резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки DOS, К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.
Наибольшее распространение в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - Aidstest, Doctor Web, MicroSoft AntiVirus далее будут рассмотрены подробнее. Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Многие программы-детекторы позволяют также «лечить» зараженные файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору). Такие про-граммы нужно регулярно обновлять, так как они быстро устаревают и не могут об-наруживать новые виды вирусов.
Ревизоры – это программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохранённой ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины про-граммы может быть вовсе и не вирус.
К последней группе относятся самые неэффективные антивирусы - вакцинато-ры. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.
2.1. Aidstest
В нашей стране, как уже было сказано выше, особую популярность приобрели антивирусные программы, совмещающие в себе функции детекторов и докторов. Самой известной из них является программа AIDSTEST Д.Н. Лозинского. Эта про-грамма была изобретена ее в 1988 г. и с тех пор она постоянно совершенствуется и пополняется. В России практически на каждом IBM-совместимом персональном компьютере есть одна из версий этой программы. Одна из последних версий обна-руживает более 1500 вирусов.
Программа Aidstest предназначена для исправления программ, зараженных обычными (неполиморфными) вирусами, не меняющими свой код. Это ограничение вызвано тем, что поиск вирусов этой программой ведется по опознавательным ко-дам. Зато при этом достигается очень высокая скорость проверки файлов.
Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, по-этому их следует выгрузить, либо, указав опцию выгрузки самой резидентной про-грамме, либо воспользоваться соответствующей утилитой.
При запуске Aidstest проверяет оперативную память на наличие известных ему вирусов и обезвреживает их. При этом парализуются только функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться. Поэтому программа после окончания обезвреживания вируса в памяти выдает запрос о пере-загрузке. Следует обязательно последовать этому совету, если оператор ПК не явля-ется системным программистом, занимающимся изучением свойств вирусов. При чем следует перезагрузиться кнопкой RESET, так как при "теплой перезагрузке" не-которые вирусы могут сохраняться. Вдобавок, лучше запустить машину и Aidstest с защищённой от записи дискетой, так как при запуске с зараженного диска вирус может записаться в память резидентом и препятствовать лечению.
Aidstest тестирует свое тело на наличие известных вирусов, а также по искаже-ниям в своем коде судит о своем заражении неизвестным вирусом. При это возмож-ны случаи ложной тревоги, например при сжатии антивируса упаковщиком. Про-грамма не имеет графического интерфейса, и режимы ее работы задаются с помо-щью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог.
Недостатки программы Aidstest:
Не распознает полиморфные вирусы;
Не снабжена эвристическим анализатором, позволяющим находить неизвест-ные ей вирусы;
Не умеет проверять и лечить файлы в архивах;
Не распознает вирусы в программах, обработанных упаковщиками исполни-мых файлов типа EXEPACK, DIET, PKLITE и т.д.
Достоинства Aidstest:
Легка в использовании;
Работает очень быстро;
Распознает значительную часть вирусов;
Хорошо интегрирована с программой-ревизором Adinf;
Работает практически на любом компьютере.
2.2. Doctor Web
В последнее время стремительно растет популярность другой антивирусной программы - Doctor Web, которую предлагает фирма «Диалог-Наука». Эта про-грамма была создана в 1994 г. И. А. Даниловым. Dr.Web так же, как и Aidstest отно-сится к классу детекторов - докторов, но в отличие от последнего имеет так назы-ваемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неиз-вестные вирусы. "Лечебная паутина", как переводится с английского название про-граммы, стала ответом отечественных программистов на нашествие самомодифици-рующихся вирусов-мутантов, которые при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в ис-ходной версии вируса. В пользу этой программы говорит тот факт, что крупную ли-цензию (на 2000 компьютеров) приобрело Главное управление информационных ресурсов при Президенте РФ, а второй по величине покупатель "паутины" - "Ин-комбанк".
Управление режимами также как и в Aidtest осуществляется с помощью клю-чей. Пользователь может указать программе тестировать как весь диск, так и от-дельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную. Как и Aidstest, Doctor Web может создавать отчет о работе, загружать знакогенератор Кириллицы, под-держивать работу с программно-аппаратным комплексом Sheriff.
Тестирование винчестера Dr.Web-ом занимает намного больше времени, чем Aidstest-ом, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям мож-но посоветовать более тщательно проверять принесенные извне дискеты. Если ин-формация на дискете находится в архиве (а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения, например Borland, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr.Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку "винчестера" на вирусы с заданием максимального уровня эвристического анализа.
Так же как и в случае с Aidstest при начальном тестировании не стоит разре-шать программе лечить файлы, в которых она обнаружит вирус, так как нельзя ис-ключить, что последовательность байт, принятая в антивирусе за шаблон может встретиться в здоровой программе.
В отличие от Aidstest, программа Dr.Web:
распознает полиморфные вирусы;
снабжена эвристическим анализатором;
умеет проверять и лечить файлы в архивах;
позволяет тестировать файлы, вакцинированные CPAV, а также упакованные LZEXE, PKLITE, DIET.
Фирма «Диалог-Наука» предлагает разные версии программы DrWeb для DOS. Как известно, имеются две версии для DOS, которые традиционно называются 16-разрядной и 32-разрядной (последняя также называется Doctor Web для DOS/386, DrWeb386). В этих названиях (16- и 32-разрядная) полностью отражена суть разли-чия версий для DOS, однако непосредственно из названий она очевидна лишь спе-циалистам. Лишь 32-разрядная версия обладает всеми функциональными возможно-стями, присущими другим современным версиям Doctor Web (в частности, версиям для Windows).
16-разрядная версия, в силу ограничений по объему доступной памяти, накла-дываемых операционной системой, не обладает некоторыми крайне важными на се-годняшний день "умениями", в частности, в нее не включены (и в силу указанных ограничений по памяти, не могут быть включены):
модули "обслуживания" известных вирусов современных типов (в частности, речь идет о макро- и стелс-вирусах);
модули эвристического анализатора для обнаружения неизвестных вирусов современных типов;
модули распаковки современных типов архивов и упакованных Windows-программ и проч.
Таким образом, хотя 16-разрядная версия использует ту же вирусную базу (VDB-файлы), что и 32-разрядные версии, отсутствие в ней некоторых модулей де-лает обработку соответствующих вирусов невозможной.
Кроме того, в силу тех же причин, 16-разрядная версия не поддерживает неко-торые современные программные и аппаратно-технические средства, что может сделать ее работу неустойчивой или некорректной.
Поскольку 32-разрядная версия является полнофункциональной и, как видно из другого ее названия - Doctor Web для DOS/386, может использоваться при работе в DOS на компьютерах с процессором не ниже 386, всем пользователям, нуждающим-ся в версии Doctor Web для DOS, лучше использовать именно ее.
Что же касается 16-разрядной версии, то она продолжает выпускаться, по-скольку еще существует парк старых машин на платформе 86/286, где 32-разрядная версия работать не может.
2.3. Avsp
(Anti-Virus Software Protection)
Интересным программным продуктом является антивирус AVSP. Эта програм-ма сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторые функции резидентного фильтра (запрет записи в файлы с атрибутом READ ONLY). Антиви-рус может лечить как известные, так и неизвестные вирусы, причем о способе лече-ния последних программе может сообщить сам пользователь. К тому же AVSP мо-жет лечить самомодифицирующиеся и Stealth-вирусы (невидимки).
При запуске AVSP появляется система окон с меню и информация о состоянии программы. Очень удобна контекстная система подсказок, которая дает пояснения к каждому пункту меню. Она вызывается классически, клавишей F1, и меняется при переходе от пункта к пункту. Так же не маловажным достоинством в наш век Windows-ов и "Полуосей"(OS/2) является поддержка мыши. Существенный недос-таток интерфейса AVSP - отсутствие возможности выбора пунктов меню нажатием клавиши с соответствующей буквой, хотя это несколько компенсируется возможно-стью выбрать пункт, нажав ALT и цифру, соответствующую номеру этого пункта.
В состав пакета AVSP входит также резидентный драйвер AVSP.SYS, который позволяет обнаруживать большинство невидимых вирусов (кроме вирусов типа Ghost-1963 или DIR), дезактивировать вирусы на время своей работы, а также за-прещает изменять READ ONLY файлы.
Ещё одна функция AVSP.SYS - отключение на время работы AVSP.EXE рези-дентных вирусов, правда вместе с вирусами драйвер отключает и некоторые другие резидентные программы. При первом запуске AVSP следует протестировать систе-му на наличие известных вирусов. При этом проверяется оперативная память, BOOT-сектор и файлы. В ряде случаев можно восстанавливать даже файлы, испор-ченные неизвестным вирусом. Можно установить проверку размеров файлов, их контрольных сумм, наличие в них вирусов, либо все это вместе. Так же можно ука-зать, что именно проверять (Boot-сектор, память, или файлы). Как и в большинстве антивирусных программ, здесь пользователю предоставляется возможность выбрать между скоростью и качеством. Суть скоростной проверки заключается в том, что просматривается не весь файл, а только его начало; при этом удается обнаружить большинство вирусов. Если же вирус пишется в середину, либо файл заражён не-сколькими вирусами (при этом "старые" вирусы как бы оттесняются в середину "молодым") то программа его и не заметит. Поэтому следует установить оптимиза-цию по качеству, тем более что в AVSP качественное тестирование занимает не на-много больше времени, чем скоростное.
При автоматическом определении новых вирусов AVSP может допустить мно-жество ошибок. Так что при автоматическом определении шаблона следует не по-лениться проверить, действительно ли это вирус и не будет ли этот шаблон встре-чаться в здоровых программах.
Если в процессе AVSP обнаружит известный вирус, то следует предпринять те же действия, как и при работе с Aidstest и Dr.Web: скопировать файл на диск, пере-загрузиться с резервной дискеты и запустить AVSP. Желательно также, чтобы при этом в память был загружен драйвер AVSP.SYS, так как он помогает основной про-грамме лечить Stealth-вирусы.
Ещё одной полезной функцией является встроенный дизассемблер. С его по-мощью можно разобраться, есть ли в файле вирус или при проверке диска произош-ло ложное срабатывание AVSP. Кроме того, можно попытаться выяснить способ за-ражения, принцип действия вируса, а также место, куда он "спрятал" замещённые байты файла (если мы имеем дело с таким типом вируса). Все это позволит написать процедуру удаления вируса и восстановить испорченные файлы. Ещё одна полезная функция - выдача наглядной карты изменений. Карта изменений позволяет оценить, соответствуют ли эти изменения вирусу или нет, а также сузить область поиска тела вируса при дизассемблировании.
В программе AVSP есть два алгоритма нейтрализации стелс-вирусов ("невиди-мок") и оба они работают только при наличии активного вируса в памяти. Вот, что происходит при реализации этих алгоритмов: все файлы копируются в файлы дан-ных, а потом стираются. Спасаются только файлы с атрибутом SYSTEM. В Adinf процесс удаления Stealth-ов реализован гораздо проще.
Программа AVSP контролирует также и состояние загрузочных секторов. Если заражен BOOT-сектор на дискете и антивирус не может его вылечить, то следует стереть загрузочный код. Дискета при этом станет несистемной, но данные при этом не потеряются. С винчестером так поступать нельзя. При обнаружении изменений в одном из BOOT-секторов жесткого диска AVSP предложит его сохранить в некото-ром файле, а затем попытается удалить вирус.
2.4. Microsoft Antivirus
В состав современных версий MS-DOS входит антивирусная программа Microsoft Antivirus (MSAV). Этот антивирус может работать в режимах детектора-доктора и ревизора. MSAV имеет интерфейс в стиле MS-Windows, естественно, поддерживается мышь. Хорошо реализована контекстная помощь: подсказка есть практически к любому пункту меню, к любой ситуации. Универсально реализован доступ к пунктам меню: для этого можно использовать клавиши управления курсо-ром, ключевые клавиши (F1-F9), клавиши, соответствующие одной из букв названия пункта, а также мышь. Серьёзным неудобством при использовании программы яв-ляется то, что она сохраняет таблицы с данными о файлах не в одном файле, а раз-брасывает их по всем директориям.
При запуске программа загружает собственный знакогенератор и читает дерево каталогов текущего диска, после чего выходит в главное меню. Не понятно, зачем читать дерево каталогов сразу при запуске: ведь пользователь может и не захотеть проверять текущий диск.
При первой проверке MSAV создает в каждой директории, содержащей испол-нимые файлы, файлы CHKLIST.MS, в которые записывает информацию о размере, дате, времени, атрибутах, а также контрольную сумму контролируемых файлов. При последующих проверках программа будет сравнивать файлы с информацией в CHKLIST.MS-файлах. Если изменились размер и дата, то программа сообщит об этом пользователю и запросит о дальнейших действиях: обновить информацию (Update), установить дату и время в соответствие с данными в CHKLIST.MS (Repair), продолжить, не обращая внимания на изменения в данном файле (Continue), прервать проверку (Stop)..
В меню Options можно сконфигурировать программу по собственному жела-нию. Здесь можно установить режим поиска вирусов-невидимок (Anti-Stealth), про-верки всех (а не только исполнимых) файлов (Check All Files), а также разрешить или запретить создавать таблицы CHKLIST.MS (Create New Checksums). К тому же можно задать режим сохранения отчета о проделанной работе в файле. Если устано-вить опцию Create Backup, то перед удалением вируса из зараженного файла его ко-пия будет сохранена с расширением VIR.
Находясь в основном меню, можно просмотреть список вирусов, известных программе MSAV, нажав клавишу F9. При этом выведется окно с названиями виру-сов. Чтобы посмотреть более подробную информацию о вирусе, нужно подвести курсор к его имени и нажать ENTER. Можно быстро перейти к интересующему ви-русу, набрав первые буквы его имени. Информацию о вирусе можно вывести на принтер, выбрав соответствующий пункт меню.
2.5. Adinf
(Advanced Diskinfoscope)
ADinf относится к классу программ-ревизоров. Эта программа была создана Д. Ю. Мостовым в 1991 г.
Семейство программ ADinf – это ревизоры дисков, предназначенные для рабо-ты на персональных компьютерах под управлением операционных систем MS-DOS, MS-Windows 3.xx, Windows 95/98 и Windows NT/2000/XP. Работа программ основа-на на регулярном отслеживании изменений, происходящих на жестких дисках. В случае появления вируса, ADinf обнаруживает его по тем модификациям, которые он выполняет в файловой системе и/или загрузочном секторе диска и информирует об этом пользователя. В отличие от антивирусов-сканеров, ADinf не использует в своей работе "портретов" (сигнатур) конкретных вирусов. Поэтому ADinf особенно эффективен для обнаружения новых вирусов, противоядие для которых еще не при-думано.
Особенно следует отметить, что для контроля дисков ADinf не использует функции операционной системы. Он читает диск по секторам и самостоятельно раз-бирает структуру файловой системы, что позволяет ему обнаруживать так называе-мые вирусы-невидимки (стелс-вирусы).
Если в системе установлен лечащий блок Adinf (ADinf Cure Module), то этот тандем способен не только обнаруживать, но и успешно удалять появившуюся зара-зу. Тестирование показало, что ADinf Cure Module способен успешно справиться с 97% вирусов, восстановив поврежденные файлы с точностью до байта.
Полезные свойства ADinf не ограничиваются только лишь борьбой с вирусами. По сути ADinf является системой, позволяющей следить за сохранностью информа-ции на дисках и обнаруживать любые, даже малозаметные изменения в файловой системе, а именно, изменения системных областей, изменения файлов, создание и удаление каталогов, создание, удаление, переименование и перемещение файлов из каталога в каталог. Состав контролируемой информации гибко настраивается, что позволяет ставить под контроль только то, что нужно.
Первая версия программы вышла в 1991 году и с тех пор ADinf заслуженно яв-ляется самым популярным ревизором в России и странах бывшего СССР. Сегодня уже трудно сосчитать число легальных и нелегальных пользователей ADinf. Более 2500 корпоративных подписчиков Антивирусного комплекта Диалог-Науки, в со-ставе которого поставляется ADinf, защищают им свои компьютеры. Программа ADinf получила сертификаты в Системе сертификации ГОСТ Р., Системе сертифи-кации средств защиты информации Министерства обороны и Сертификат Государ-ственной технической комиссии при президенте Российской федерации (в составе Антивирусного комплекта Диалог-Науки). Программа постоянно совершенствуется и все время находится на острие современных технологий.
Изначально ревизор ADinf был разработан для операционной системы MS-DOS. Затем были выпущены варианты программы для Windows 3.xx и Windows 95/98/NT/XP. Сейчас существует семейство совместимых между собой ревизоров для различных операционных систем. Все варианты ADinf сегодня поддерживают файловые системы Windows 95/98, длинные имена файлов и каталогов, разбирают внутреннюю структуру исполняемых файлов Windows 95/98 и NT/XP.
Итак, программа Adinf:
имеет высокую скорость работы;
способна с успехом противостоять вирусам, находящимся в памяти;
позволяет контролировать диск, читая его по секторам через BIOS и не используя системные прерывания DOS, которые может перехватить вирус;
может обрабатывать до 32000 файлов на каждом диске;
в отличие от AVSP, в котором пользователю приходится самому анали-зировать, заражена ли машина Stealth-вирусом, загружаясь сначала с винчестера, а потом с эталонной дискеты, в ADinf эта операция происходит автоматически;
в отличие от других антивирусов Advansed Diskinfoscope не требует за-грузки с эталонной, защищённой от записи дискеты. При загрузке с винчестера на-дежность защиты не уменьшается;
ADinf имеет хорошо выполненный дружественный интерфейс, который в отличие от AVSP реализован не в текстовом, а в графическом режиме;
при инсталляции ADinf в систему имеется возможность изменить имя основного файла ADINF.EXE и имя таблиц, при этом пользователь может задать любое имя. Это очень полезная функция, так как в последнее время появилось мно-жество вирусов, "охотящихся" за антивирусами (например, есть вирус, который из-меняет программу Aidstest так, что она вместо заставки фирмы "ДиалогНаука" пи-шет: "Лозинский - пень"), в том числе и за ADinf.
Существует несколько вариантов ревизора Adinf для различных операционных систем. Каждый из них имеет свои особенности.
Ревизор ADinf предназначен для операционных систем MS-DOS и Windows 95/98. Это развитие первого варианта ревизора, созданного еще в 1991 году. Сего-дня ADinf это самое надежное средство для обнаружения как известных, так и но-вых неизвестных вирусов. Это единственный в мире ревизор, проверяющий файло-вую систему чтением по секторам напрямую через BIOS компьютера.
Ревизор ADinf for Windows предназначен для операционной системы Windows 3.xx. Ко всем свойствам ревизора ADinf этот вариант программы добавляет удобный графический интерфейс пользователя.
Ревизор ADinf Pro предназначен для контроля за сохранностью особо ценной информации, например баз данных или документов, в среде операционных систем MS-DOS, Windows 3.xx и Windows 95/98. Особенностью этого варианта программы является использование 64-битной хэш-функции для контроля целостности файлов, разработанной известной Российской фирмой ЛАН-Крипто. Использование этой хэш-функции гарантирует не только обнаружение случайных изменений файлов или изменений, вызванных вирусами, но и делает невозможным преднамеренную незаметную модификацию данных на диске.
Ревизор ADinf32 – это 32-битное многопоточное приложение для операционных систем Windows 95/98 и Windows NT/XP с современным интерфейсом пользователя. Этот вариант программы не только обладает всеми достоинствами других вариан-тов, но и содержит много нового по сравнению с ними.
Следует заметить, что программа Adinf хорошо интегрирована с другими про-граммами комплекта DSAV фирмы «Диалог-Наука». Так, Adinf создает список но-вых и измененных файлов на диске, а Aidstest и DrWeb могут проверять файлы из этого списка, что значительно сокращает время работы этих программ.
|