загрузка...
-->
Антивірусні програми PDF Печать E-mail

Антивірусні програми

1. Класифікація антивірусних засобів
Комп'ютерний вірус - це дуже неприємне шкідливе явище, побачити яке на своєму ПК не хотів би, напевне, жоден користувач. Застрахуватись від вірусів на сьогодні повністю неможливо, хіба що зовсім ізолювати ПК від обміну інформацією із навколишнім світом. Але робити це, напевне ніхто не буде, адже тоді ПК втратить багато своїх переваг.
На сьогодні відомо багато інших практичних заходів, для зведення до мінімуму ймовірності зараження ПК комп'ютерним вірусом. Ось основні методи захисту від комп'ютерних вірусів.
-Загальні засоби захисту інформації, які діють також і як страховка від фізичного пошкодження магнітних дисків неправильно працюючих програм, або помилкових дім користувачів.
- Профілактичні заходи, які дозволяють зменшити ймовірність зараження вірусом.
- Спеціалізовані програми для захисту від вірусів.
Існують два основні різновиди загальних засобів захисту.
Копіювання інформації - створення копій файлів і системних областей дисків. Для резервного копіювання можна використати, наприклад, реквізит Windows 95 - Microsoft BackUp, чи інші програми, які копіюють інформацію на інший диск, чи носій інформації [стример, CD-R та ін.). У випадку необхідності створення копій' системної області диску слід використовувати, наприклад, програму Rescue Disk з пакету Norton Utilities.
Розмежування доступу перестерігає несанкціоноване користування інформацією, зокрема захист від зміни програм і даних вірусами, неправильно працюючими програмами та помилковими діями користувачів.
До профілактичних заходів відносять загальні правила використання дискет та загальні правила роботи в комп'ютерних мережах. Перш за все необхідно користуватись ліцензійними дисками. Інформацію, що поступає через мережу та з дискет обов'язково потрібно перевіряти на наявність вірусів спеціальними програмами. Завантажувати через певні періоди часу (наприклад, раз в тиждень) антивірусні програми, для тестування дисків вінчестера та оперативної пам'яті на наявність вірусів.
Не дивлячись на те, що загальні засоби захисту інформації та основні правила профілактики дуже важливі для захисту від вірусів, все ж тільки їх недостатньо. Необхідно також застосовувати спеціалізовані програми для захисту від вірусів. Ці програми можна поділити на декілька видів.
• детектори - дозволяють знайти файли, заражені яким-небудь одним наперед відомим
нам вірусом, або одним з багатьох відомих вірусів;
• вакцини (іммунізатори) - модифікують (інфікують) програми і диски таким чином, що це не відображається на роботі програм. Після цього вірус, від якого виконується вакцинація, вважає ці програми або диски вже інфікованими і повторно їх не заражає;
• лікарі (фаги) - лікують заражені програми або диски "викусуючи" із заражених програм тіло віруса, тобто відновлюючи програму в тому стані, в якому вона була до зараження вірусом;
• ревізори - спочатку запам'ятовують стан інформації (розмір, дату і час створення)! системних областей дисків, а потім порівнюють його з поточним. При виявлені невідповідностей про це повідомляється користувачу;
• лікарі-ревізори - це гібриди ревізорів і лікарів, тобто програми, які не тільки помічають зміни в файлах і системних областях дисків, але й можуть у випадку виявлення змін вилікувати заражені файли;
• фільтри - резидентні програми для захисту від вірусів, які поміщаються резидентно в оперативній пам'яті комп'ютера і перехоплюють звернення вірусів до системних областей і файлів. Користувач може дозволити або заборонити виконання відповідних операцій.
Програми-детектори і лікарі
У більшості випадків для виявлення вірусу, який вже заразив комп'ютер, можна використати програми-детектори. Ці програми перевіряють, чи є у файлах на вказаному користувачем диску специфічна для даного віруса комбінація байтів. При Її виявленні в якому -небудь файлі на екран виводиться відповідне повідомлення. Багато детекторів мають режим знищення заражених файлів. Знаючи про те, які види файлів заражає даний вірус, можна обмежити перевірку тільки файлами цих типів.
Слід підкреслити, що дії, які потрібно вжити для виявлення віруса, індивідуальні для кожної версії віруса. Деякі програми-детектори дозволяють виявити тільки одну версію віруса, інші - декілька версій. Наприклад, програма CHK_HALF призначена для виявлення лише одного віруса One Half, тоді як програма SCAN фірми McAfee Associates виявляє біля 70 вірусів. Деякі програми-детектори можуть настроюватися на нові типи вірусів, для цього їм потрібно вказати комбінації байтів, які характерні цим вірусам.
Головний недолік програм-детекторів полягає в тому, що вони можуть виявити тільки деякі заздалегідь відомі версії вірусів. Тому, якщо файл не визначається детекторами як заражений, це ще не означає, що він насправді не заражений - в ньому може знаходитись який-небудь новий вірус або трохи модифікована версія старого віруса (вірус-мутант).
Деякі програми крім функції "детектора", мають також і функцію "лікара", тобто вони намагаються знищити в заражених файлах віруси і повернути їх в нормальний стан. Всі файли, які не вдалось відновити, як правило, стають непрацездатними або знищуються.
Головний недолік "лікарів" - їх вузька спеціалізація.
"Лікар", який орієнтований на одні типи вірусів, не буде в змозі вилікувати файли, заражені тим вірусом. Крім того, лікарі не завжди лікують файли правильно.
Найбільш відомою прогамою-лікарем у нас є AIDSTEST розроблений AT "Диалог-Наука" ц керівництвом Д.Лозинського.
Програми-вакцини
Програми-вакцини, або іммунізатори спеціально модифікують та заражають 'ограми і диски таким чином, щоб це не відображалось на роботі програм та ПК в іагальному. Вірус, проти якого виробляється вакцинація, вважає ці програми або диски [вже зараженими \ том-у не заражав \\. ^дж tea-to й\у^\й xv^u тол та. Ротата ^йТО перевіряють, чи в ньому вже немає копії віруса і заражають лише нові файли.
Віруси, як правило, шукають у файлах свій специфічний код (сигнатуру). Тому, вакцини для захисту від цього віруса, дописують в кінець всіх виконавчих файлів цю комбінацію байтів. Це, швидше за все, не матиме ніякого впливу на виконання програм, а вірус тим самим буде обманутий, так як буде вважати програми вже зараженими. На жаль, ймовірність того, що комп'ютер у наступний раз буде заражений саме тим вірусом, від якого проводилась вакцинація, дуже мала. Ось тому програми-вакцини в наш час використовуються дуже рідко.
Програми-ревізори
Програми-ревізори (програми для ранньої діагностики віруса) мають дві стадії роботи.
1 стадія. Спочатку вони запам'ятовують повідомлення про стан програм і системних областей дисків (завантажувального сектора і сектора з таблицею розбиття жорсткого диску) та розміри і час останньої модифікації всіх файлів на диску. Передбачається, що в цей момент програми і системні облсті дисків не заражені. Всі ці дані записуються у спеціальні таблиці, а вони - у невидимі захищені файли на цих дисках.
2 стадія. Перевірка системних областей та розмірів файлів при наступному завантаженні ревізора, та порівняння їх з копіями в таблицях. При виявленні невідповідностей про це | повідомляється користувачеві.
Багато користувачів вмикають команди завантаження програми-ревізора в командний файл autoexec.bat, щоб перевірка стану програм і дисків проходила при кожному завантаженні операційної системи. Деколи ці програми контролюють системний годинник і завантажуються лише в певні періоди (наприклад, раз на добу). Це дозволяє виявити зараження комп'ютерним вірусом, коли він ще не встиг нанести великої шкоди. Крім цього, так програма-ревізор може знайти пошкоджені вірусом файли.
Для того щоб, щоб перевірити, чи не зміниться файл, вираховується його контрольна гума - деяка спеціальна функція всього вмістимого файла. Якщо контрольна сума файла іміниться то, зрозуміло, зміниться і файл. З другої сторони - змінити файл так, щоб його контрольна сума залишилась колишньою, практично не можливо. Для вирахування сонтрольної суми необхідно прочитати увесь файл, а це досить тривалий процес.
Найбільш відомими програмами-ревізорами є Adinf розроблений AT "Диалог-Наука" (Р та Sheriff.
Програма Sheriff взагалі є особливою і неповторною програмою. Комплекс Sheri це сукупність апаратних та програмних рішень. Вона постачається зі спеціальною платою, щі встановлюється на ПК. В її мікросхему "вшита" сама програма чку неможливо змінити, ота ніякий вірус не може її знищити, чи перехитрити.
Програми-фільтри
Однією із причин, через яку стало можливим таке явище як комп'ютерний вірус, бул;
відсутність в операційній системі MS DOS ефективних засобів для захисту інформації ві? несанкціонованого доступу. За відсутністю засобів захисту комп'ютерні віруси можуть непомітно] та безкарно змінити програми, пошкодити таблиці розміщення файлів і т.д.
У зв'язку з цим, різними фірмами і окремими програмістами розроблені програми-фільтри, або рецедентні програми для захисту від віруса, які, у певній мірі, усувають недолік DOS. Ці програми розташовуються резидентно в оперативній пам'яті комп'ютера!' "перехоплюють" ті звернення до операційної системи, які використовуються вірусами, а' саме:
- зміни СОМ і ЕХЕ -файлів;
- прямий запис на диск (запис за абсолютною адресою);
- форматування диска;
- встановлення резидентно'!' програми.
При кожному запиті на такі дії на екран комп'ютера виводиться повідомлення про те, яка дія вимагається і яка програма бажає його виконати. Можна дозволити виконання цієї дії, або заборонити її.
Описаний спосіб захисту від вірусу має певні недоліки. Перш за все програма-фільтр постійно займає якусь частину оперативної пам'яті комп'ютера і тим самим зменшу є. розмір доступної іншим програмам оперативної пам'яті. Крім того, користувач повинен відповідати на питання про те, дозволити чи заборонити відповідну дію на комп'ютері, При деяких видах робіт ці запити можуть видаватись досить часто, що не завжди подобається користувачу.
Ступінь захисту, що пропонується програмами-фільтрами не потрібно переоцінювати, оскільки багато вірусів при своїй роботі звертаються безпосередньо до операційної системи та BIOS, не використовуючи стандартний виклик цих програм через переривання, а резидента! програми, для захисту від віруса переловлюють саме ці переривання. Крім того, програми-фільтри не можуть захистити від заражання вінчестера завантажувальними вірусами, оскільки там зараження може відбутися при завантажувані DOS, тобто до запуску будь-яких програм та встановлені драйверів.
Однак переваги використання програм-фільтрів досить великі, так як вони дозволяють знайти комп'ютерний вірус на самій ранній стадії, коли він ще не встиг розмножитись та
пошкодити програми. Більшість програм-фільтрів можуть завершити свою роботу за командою користувача (це може бути необхідно для програм, які потребують для своєї роботи багато оперативної пам'яті). При завершенні роботи цієї програми бажано перезавантажити ПК, після чого доцільно запустити програму-ревізор для ранньої діагностики віруса.
Команду завантаження програми-фільтра зручно включати в файл autoexec.bat. На сьогодні відомо досить багато програм-фільтрів. Це перш за все MsAv, що входить в пакет MS-DOS 6.X, програма -d2.com та ін. До них також можна віднести підпрограму WinGuard, що входить у відомий антивірусний пакет Doctor Solomon (Англія).
2.2. Огляд антивірусних програм
Розглянемо тепер деякі найбільш ефективні та поширені в нашій країні антивірусні програми. Почнемо огляд з продуктів російської компанії AT "Диалог Наука", оскільки ці програми вже стали деяким стандартом, і переважна більшість комп'ютерів в нашій країні укомплектована саме їх антивірусами. AT "Диалог Наука" представляє антивірусний комплект DSAV (Dialog Science Anti Virus) який складається з програм Doctor Web, Aidstest, AdinfTa AdinfCure Module.
Aidstest
Це одна із кращих антивірусних програм початку 90-х років. На той час досить було мати у себе цю програму і можна було вважати свій комп'ютер майже у повній безпеці. Питання стояло лише про постійне її оновлення, адже нові версії програми виходили практично кожного тижня. Та часи змінюються, вірусописьменники постійно збільшують свій потенціал, і тепер, Aidstest мало хто використовує для боротьби із вірусами.
Aidstest є поліфагом. Це означає, що він може виявити і знищити відомий йому вірус. Aidstest розпізнає приблизно 2 тисячі вірусів. Оскільки він використовує сигнатурний пошук (за відомими кодами віруса), то виявляється, що він неможе справитися з поліморфними вірусами (вірусами-мутантами). Він не може також перевірити запаковані файли і файли, захищені вакцинами, та не володіє можливістю еврістичного аналізу, тобто не може розпізнати дію невідомого йому вірусу. Та все ж він залишається антивірусом з непоганою базою даних про звичайні, неполіморфні віруси. Особливо це стосується старих вірусів (ретро вірусів), яких деякі програми, такі як Dr Web, "по молодості літ" можуть просто не знати. В майбутньому, напевно, можна буде обійтись однією Dr Web, але поки що "Диалог Наука" включає Aidstest у свій антивірусний комплект в якості безплатного додатку.
Програма Aidstest працює в режимі командної стрічки. Для проведення тестування чи лікування потрібно задати команду в такому форматі:
aidstest [<ім'я диску >][<ключі>]
де:
<ім'я диску> - це ім'я дисковода чи логічного диска вінчестера, який потрібно протестувати (вилікувати); якщо вказати "*", то буде протестовано всі логічні диски вінчетера, "**" - всі диски! ПК, в тому числі мережеві;
<ключі> - задають певні режими роботи програми.
Найчастіше в команді застосовуються наступні ключі:
/f- полікувати файли, заражені вірусом (якщо ключ не заданий, то віруси будуть лише виявлятись, але не будуть знешкоджуватись);
/g - перевірити всі файли (якщо ключ не заданий, то перевіряються лише виконуючі сот-, exe-файли та системні sys-файли);
/s - повільна робота з метою виявлення зіпсованих вірусами програм;
/р[+]<ім'я файлу>" видати протокол про результат тесту у файл або на LPT1 порт (принтер), якщо такий файл існував, то він перезаписується з початку (коли вказати "+", то звіт добавляється в кінець такого файлу);
/х - знищення всіх файлів з пошкодженою вірусом структурою;                 ,
/q - перепитування дозволу на знищення кожного пошкодженого вірусом файлу окремо;
/Ь - не пропонувати тестування наступної дискети;
/nb - робота без можливості дострокової зупинки тесту;
/е - читати літери кирилиці на дисплеях VGA або EGA (вбудована підтримка літер кирилиці, коли не підключена програма кирилізації);
/m - встановлення вбудованої в Aidstest таблиці кодування символів кирилиці замість таблиці, що завантажена програмою кирилізації;
Л - вивести на екран звіт про роботу програми англійською мовою;
/@|+]<ім'я файлу> - перевірка об'єктів, що вказані в даному файлі, який утворений в результаті роботи програми Асппі(якщо вказано "+", то даний файл не знищується після закінчення роботи);
/г<число> - використання при роботі результатів тестування програмою Sheriff;
(<число> - п'ять перших цифр серійного номеру плати Sheriff);
/d - виведення на екран умови розповсюдження продуктів AT "ДиалогНаука", перелік послу та розповсюджувачів;
/а<число> - заборона виведення на екран реклами (<число> - вказане в документації до даної версії aidstcst).
Doctor Web (Dr. WEB)
Програма Doctor Web (спрощено Dr.WEB) сильний антивірус, один з кращих в світі (певний час у 1998 році, за результатами тестування журналу "Virus Bulletin", займала почесне III місце), з потужним алгоритмом виявлення вірусів.
Так само, як і Aidstest, є поліфагом, однак, на відміну від нього, може "читати" архіви, файли даних у форматах WinWord і Excel, виявляти і знешкоджувати поліморфні віруси, які в
останній час все більше поширюються.
Досить сказати, що епідемією найнебезпечнішого поліморфного вірусу початку-середини 90-х One Half зупинив саме Dr Web. Ця програма має дуже потужний еврістичний аналізатор, який тестує програми в пошуках ділянок коду, характерних для вірусів, і дозволяє виявити понад 90% невідомих (нових) вірусів. До того ж еврістичний аналіз програма може проводити в двох режимах: слабкого і сильного аналізу (мінімального і максимального рівня еврістики). Цікаво, що різниця в кількості виявлених вірусів для слабкого і сильного еврістичного аналізу при сигнатурному пошуку не така велика - 81% і90%. Тоді, як різниця в швидкості перевірки набагато більша.
Програма Dr. Web може працювати в двох режимах:
- командної стрічки,
- в оболонці.
Для запуску в командному режимі задають команду:
drweb (<1м'я диску>][\шлях](<ключі>]
де:
<ім'я диску> - це ім'я дисководу чи логічного диску вінчестера, який слід протестувати (вилікувати), якщо вказати "*", то буде протестовано всі логічні диски вінчетера;
<\шлях> -.задає шлях до каталогу, який слід протестувати, та шаблон для файлів, які потрібно тестувати (якщо тестується весь диск, то <шлях> не вказують);
<ключі> - ключі, що задають певні режими роботи програми.
В команді програми Dr. Web застосовують наступні ключі:
/@[+]<ім'я файлу> - перевірити об'єкти, що вказані в даному файлі, утвореному в результаті роботи програми Асппі(якщо вказано "+", то даний файл не знищується після закінчення роботи),
/al - перевірка всіх файлів на даному диску (не тільки виконуючих corn- і exe-файли та ситсемних sys-файли),
/аг- перевірка файлів в архівах,
/bw<4Hcno> - режим чорно-білого дисплею (<число> - число 1 або 2),
/ch - заборона перевірки програмою себе,
/сі - завантаження і робота програми в режимі командної стрічки,
/со<число> - завантаження програми із інтерфейсом однією з гам кольорів (<число> -номер гами: число від 1 до 4),
/cu[d][r][p] - встановлення спосібу лікування заражених програм від вірусів (d-шищення, г- перейменування заражених файлів, р- видалення вірусів із файлів),
/da - тестування один раз на добу,
/dl - знищення файлів, відновлення яких не можливе,
/fn - читати літери кирилиці на дисплеях (вбудована підтримка літер кирилиці, якщо не підключена програма кирилізації),
/go - автоматичний режим роботи програми ("автопілот"),
/Ьа<число> - встановити еврістичний аналіз файлів для пошуку поліморфних вірусів (<число> - встановлює рівень еврістики: 0 -мінімальний, 1- максимальний),
/hi - перевірка оперативної пам'яті на наявність вірусів,
/In - встановлення вбудованої в Dr. Web таблиці кодування символів кирилиці замісті таблиці, що завантажена програмою кирилізації,
/ml - перевірка файлів електронної пошти, які закодовані з допомогою UUE і МІМЕ,
/mt<4ac> - встановлення максимального часу тестування файла в секундах,
/пі - не використовувати параметри вказані в конфігураційному іпі-файлі,
/nm - робота без тестування оперативної пам'яті ПК,
/nr - не створювати файл звіту про результати тестування,
/ns - заборонити дострокову зупинку тестування програмою,
/ok - виведення повідомлення "Ok" для неінфікованих файлів,
/qu - вихід з прогами в DOS відразу по завершенні тестування,
/гр[+]|<ім'я>| - виведення звіту про результати тестування у вказаний файл (якщо не вказати, то у файл - report.web). Якщо такий файл існував, то попередня інформація ньому буде знищена ("+" - буде дописано в кінець існуючого файлу),
/rv - пошук файлів, заражених резидентними вірусами,
/sd - пошук і тестування файлів в підкаталогах даного каталогу,
/sh<4Hcno> - використання при роботі результатів тестування програмою Sheriff
(<число> - п'ять перших цифр серійного номера плати Sheriff),
/sn - усунення "снігу" при роботі на дисплеї типу CGA,
/sv - зберегти встановлені параметри в конфігураційному іпі-файлі після завершення тестування,
/1а<диск> - встановити диск, на якому будуть розміщені тимчасові файли при роботі програми Dr. Web,
/ub - здійснювати вивід на екран дисплею тільки через BIOS,
Оскільки програма здатна працювати в оболонці, то командний режим, що вимагає задания в командній стрічці ключів та шляхів на практиці використовується дуже рідко. Його використовують в основному для завантаження програми із командного файлу autoexec.bat, та інших пакетних файлів (пакетні файли будуть описані в частині 6 цього посібника).
В основному з програмою Dr. Web працюють у режимі роботи оболонки. Для цього достатньо завантажити файл drweb.exe без будь-яких параметрів.
Оскільки багато вірусів шукають на диску файл drweb.exe і намагаються заразити саме його, то у деяких версіях програми, з метою захисту робочого файлу від вірусів, він має іншу назву.
При завантажені оболонки Dr. Web, спершу програма тестує на віруси себе, а тоді оперативну пам'ять. Коли потрібно достроково зупинити тест пам'яті, досить натиснути клавішу ESC. Програма перепитає підтвердження і якщо відповідь позитивна (Yes), то тест буде зупинено. В залежності від установок може тестуватись або 640 К, або 1088 К (включаючи НМА). Рекомендується перевірити всю пам'ять - в цьому випадку процес перевірки триває трохи довше, ж справа в тому, що вже давно існують віруси, здатні проникати у верхню пам'ять. Алгоритм роботи антивіруса Dr.Web полягає в тому, що він емулює процесор, тобто створює програмну модель комп'ютера, на якій "проганяє" досліджувані програми і досліджує всі операції, виконувані ними в даній моделі.             ^
У порівнянні з щотижневим обновленням Aidstest, нові версії Dr Web виходять рідко •доповнення до вірусної бази поширюються у вигляді окремих файлів, скопійованих у каталог, в якому знаходиться сам Dr Web. Нові версії випускаються лише у випадку якісного покращення програми. З цього приводу не можна не згадати про скандал, який виник влітку 1997 року у зв'язку з появою в мережі FidoNet фальшивого доповнення до Dr Web, яке мало "троянську" компоненту, знищуючи файли на дисках. "Диалог Наука" виражала співчуття іприносила вибачення. Вона посилила захист своїх доповнень, та знищену інформацію вже неможливо відновити. У зв'язку з цим хочеться підкреслити важливе правило: користуйтесь тільки ліцензійними програмами.
По завершені тесту пам'яті відбувається повне завантаження оболонки Dr. Web, вигляд кої показаний на малюнку 4.1.
Програма може працювати в двох мовних    режимах:
англійському та російському. Перемикання режимів здійснюють в пункті Setup (Настройки) підпункті Desktop (ИнтефеЙс). Відкривається вікно, де в розділі Language (Язык сообщений) встановлюють         мову спілкування. В цьому вікні настроювання можна також встановити:
• Expanding windows (Раскрывающиеся окна) - сервісний режим роботи при якому вікна, що відкриваються плавно збільшують свій розмір;
• Mouse support (Поддержка мыши) - дозволити використання миші в оболонці;
• Load screen font (Загрузка шрифта) - завантажити вбудований екранний шрифт;
- Веер (Звуковое предупреждение) - видавати звукове попередження при виявленні вірусі
- Autosave setup (Автосохранение установок)" автоматично зберігати зроблені настро при кожному виході з оболонки;
- Screen output via BIOS (Вывод на екран через BIOS) - вивести на екран повідомле безпосередньо через BIOS, обминувши переривання;
- "Snow" prevention (Предотвращение снега) - запобігання появи снігу на дисплеях ти CGA;
" Print "Ok" after filename (Ok для чистых файлдов) - вивести повідомлення "Ok" незаражених файлів;
- Print packer name (Вывод имени упаковщика) - вивести на екран назву пакувальник при перевірці запакованих файлів;
- Report for each drive (Отчет после каждого диска) - вивести звіт про результа тестування після тестування кожного диску окремо;
- Test one floppy only (Тест только одного флоппи) - не виводити запит на тестуван ще однієї дискети по закінчені тесту першої (тестувати лише одну дискету);
- Color scheme (Цветовая схема) - вибрати одну із чотирьох кольорових чи двох чорно-І білих схем кольорів;
- Screen height (Высота екрана) - вибрати кількість рядків на екрані дисплею (25, 30,43 рядків).
Після підключення відповідних опцій можна натиснути кнопку Save (Сохранить), щой зберегти ці настройки для наступного завантаження оболонки або Ok, якщо настройки встановлюють на один сеанс роботи оболонки.
В настройках оболонки є також підпункт Options (Параметры) (аналогічна дія клавіша F9), де встановлють типи тестування на наявність вірусу.
При цьому відкривається вікно, в якому можна встановити такі параметри:
- Memory test (Тестирование памяти) -тестувати оперативну пам'ять перед тестуванням дисків;
- Boot sector test (Тест загрузочных секторов) - тестувати завантажувальні сектори дисків та таблицю розділів вінчестра;
- Heuristic analysis (Эвристический анализ) - проводити еврістичний аналіз для пошуку поліморфних та нових вірусів;
- Check for TSR-virus (Контроль резидентных вирусов) - пошук файлів заражених резидентними вірусами;
- Check packed (Проверка упакованных) - перевіряти на віруси запаковані файли;
- Check archives (Проверка архивов) - перевіряти на віруси файли архівів;
- Check E-mail (Проверка E-mail) - перевіряти файли електронної пошти, що закодовані з допомогою UUE і МІМЕ;
- Delete damaged (Удаление испорченных) - знищувати зіпсовані вірусами файли;
- Prompt for cure (Запрос на лечение) - запитувати дозволу користувача перед лікуванні
шараженого файла;
i[   - Heuristic level (Уровень "эвристики") - встановлює рівень еврістичного аналізу: Minimal ^мінімальний, "Paranoid" - максимальний";
- Memory range (Тестируемая память) - встановлює, яку частину пам'яті тестувати (640 К чи 1088 К);
- Infected files (Инфицированные файлы) - встановлює, що робити із файлами зараженими вірусами: Cure - лікувати. Delete - знищувати. Rename - перейменовувати;
- Report file (Файл отчета) - встановлює дозвіл на створення файлу звіту: Don't Create - не створювати, Overwrite - переписувати поверх існуючого звіту. Append - дописувати в кінець існуючого.
Для того щоб вибрати, які саме типи файлів перевіряти на віруси потрібно ввійти в пункт меню Setup (Настройки), підпункт Paths (Файлы) і вибрати File Type (Тестировать). Тестування та лікування від вірусів здійснюється через пункт меню Test (Тест), де можна вибрати такі режими:
- Test Memory (Тест памяти) - протестувати оперативну пам'ять на віруси;
- Scan (Тестирование) - протестувати диск чи каталог на віруси. Це можна зробити не викликаючи верхнього меню, а натиснувши клавішу F5;
- Cure (Лечение) - вилікувати диск чи каталог від вірусів. Це можна зробити не викликаючи верхнього меню, а натиснувши клавішу Ctrl+F5;
- Statistics (Статистика) - вивести на екран звіт про результати тестування дисків;
- Report (Файл отчета) - вивести звіт про результати тестування дисків у файл. При виборі пунктів Cure (Лечение) або Scan (Тестирование) з'являється вікно в якому
потрібно вказати диск для тестування чи лікування, або повний шлях до каталогу, в якому
буде проводитись перевірка. Коли вказати замість імені диску "*", то тестуються всі логічні
диски вінчестера.
Для виходу із оболонки Dr. Web потрібно натиснути комбінацію клавіш Alt+X, або у
верхньому меню вибрати пункт Dr. Web підпункт Exit (Выход).
Adinf
Антивірус - ревізор диску Adinf (Advanced Diskin foskope) дозволяє виявити поряд із звичайними, stealth і поліморфні віруси, як уже відомі, так і зовсім нові.
А маючи в своєму розпорядженні лікуючий блок ревізора Adinf - Adinf Cure Module,-
можна знешкодити до 97% всіх вірусів. Цю цифру наводить "Диалог Наука", спираючись на результати тестування, які проводились на колекціях вірусів двох визнаних авторитетів в цій галузі - Д.Н. Лозинського і фірми Dr Solomon's (Великобританія).
Adinf завантажується автоматично один раз на добу і контролює стан завантажувальних секторів і файлів на диску (дату і час створення, довжину, контрольну суму), видаючи повідомлення при Їх змінах.
Якщо виявлено вірус (який не може нейтралізувати ні Aidstest, ні Dr Web), то можливі два способи вирішення проблеми.
Перший спосіб. Якщо цей вірус завантажувальний, то Adinf просто відновлює попередній завантажувальний сектор, який зберігається в його таблицях. Взагалі, відновлення є більш оптимальним вирішенням проблеми зараженого сектора чи файла, ніж Їх лікування. У цьому випадку ніхто (і самі автори антивірусів також) не дасть вам гарантії, що воно мине без наслідків для вашого комп'ютера - при зараженні вірус може просто зіпсувати файл. Тому, якщо можливо відновити програму з дистрибутивних дискет, краще "знести" (деінсталювати) заражене програмне забезпечення і встановити його наново, навіть якщо ваш пакет успішно бореться з даним вірусом.
Другий спосіб. Якщо вірус виявився файловим, то тут можна скористатись лікуючим блоком ADinf Cure Module. Суть його роботи полягає в тому, що ревізор ADinf передає модулю звіт про заражені файли, і той, порівнюючи існуючу в таблицях інформацію про попередні характеристики файла з новими, відновлює початковий стан файла, а не забирає тіло віруса, як це робили звичайні поліфаги. Таким чином, у випадку вдалого лікування буде отримано не файл з мертвим вірусом всередині, а точну копію файла яким він був до зараження.
На жаль, ADinf Cure Module, бореться лише з 97% вірусів, як відомих так і нових. Версія для Windows повністю ідентична версії для DOS і дозволяє завантажувати Adinf і операційної системи Windows 95, не переключаючись в DOS. Корисним нововведеням Adinf с можливість передачі інформації про нові або змінені файли програмі Dr Web, який досліджує їх на предмет наявності вірусу - в цьому випадку перевірка комп'ютера програмою DrWeb займає
менше часу.
Розробляються також версії Adinf для Windows NT і OS/2.
Antiviral toolkit pro by Eugene Kaspersky (AVP)
Цей антивірус, розроблений корпорацією KAMI (Москва) (пізніше - компанія "Лаборатория Касперского"), не менш популярний за комплект фірми "Диалог Наука". AVP єполіфагомів процесі роботи перевіряє оперативну пам'ять (включаючи розширену XMS і додаткову EMS) і файли, в тому числі архівні упаковані, а також Master Boot Record, завантажувальний сектор (Boot record) і Partition Table. На відміну від Dr Web і Aidstest, AVP розпізнає більше 10 тисячі вірусів, серед них поліморфні, stealth - і макровіруси, а також "троянські програми". Така різниця пояснюється тим, що "Диалог Наука" незначні варіації одного вірусу вважає за одну сигнатуру, а "Лаборатория Касперского"" різними вірусами.
Програма озброєна еврістичним сканером, який, за твердженням творців антивірусу із "Лаборатории Касперского", виявляє біля 80% всіх вірусів. Можна встановлювати різні режими сканування - в стандартному режимі перевіряються тільки "точки входу", тобто місця, в яких починається обробка програми системою, в той час як в режимі надлишкового сканування проходить повна обробка вмісту досліджуваних файлів. Правда, самі творці рекомендують включати зайве сканування лише у тих випадках, коли стандартний режим не виявляє вірусів, а "дивні явища" (у вигляді самовільних перезавантажень, уповільнення роботи програм і т.д.) не зупиняються. При надлишковому скануванні процес перевірки збільшується в кілька разів, і до того ж трапляються випадки, коли по завершенні роботи пошкодженими виявляються неінфіковані файли. Особливістю цього антивіруса є також його здатність до самолікування.
Нові антивірусні бази до AVP з'являються приблизно один раз на тиждень. В них входить інформація про всі віруси, які виникли за цей час, і розширений лікувальний модуль для цих вірусів.
Завантаження програми здійснюється файлом avp.exe. При цьому програма тестує спочатку себе, а тоді й оперативну пам'ять. Якщо тест пройшов успішно відбувається іавантаження оболонка, що показана на малюнку 4.2.
Вікно складається з п'яти підвікОн, які називаються закладками.
В закладці "Область" вибирають імена дисків, які потрібно протестувати або, відмітивши опцію "Путь", вказують лише окремий каталог для тестування. Програмою можна також проводити тестування мережевих дисків, коли відмітити опцію "Сетевые диски". ^
Закладка "Объекты" складається з двох розділів. В першому вибираємо, які об'єкти тестувати: "Память" - оперативну пам'ять, "Сектора" - Master Boot Record та Boot Record, 'Файлы" - запаковані та архівні файли. У другому розділі, що називається "Тип файлов", встановлюємо які типи файлів тестувати.
• Копировать в директорию -при лікуванні та знищенні
В третій закладці "Действия" встановлюємо, що робити з інфікованими та підозрілими на вірус об'єктами: • Только отчёт - лише
повідомляти про віруси, але не лікувати їх,
• Запрос на лечение - при виявленні вірусів перепитувати! дозволу на лікування,
• Лечить без запроса - при виявленні вірусів лікувати їх без перепитування,
• Удалять без запроса - при виявленні вірусів знищувати їх без перепитування,
вірусів створювати у вказаному каталозі копію стану об'єктів до лікування,
• Подозрительные объекты - підозрілі на віруси об'єкти копіювати у вказаний каталог,
Встановлення настройок програми здійснюється у четвертій закладці ("Настройки"). Тут встановлюють: типи тестування (мінімальне чи надлишкове), чи проводити еврістичний аналіз ("Анализатор кода") і куди записувати файл звіту про проведену роботу. Можна також встановити видачу звукового попередження при виявленні вірусів ("Звуковые эфекты").
В останній (п'ятій) закладці можна побачити звіт про результати тестування. Оболонка AVP має своє меню, активізувати яке можна клавішеюРІО. Щоб запам'ятати зроблені настройки для використання в наступному сеансі роботи потрібно увійти в пункт верхнього меню "Файл" і вибрати "Сохранить настройки по умолчанию" або "Сохранить настройки" (якщо потрібно зберегти декілька варіантів настройок). У другому випадку слід вказати ім'я файлу, в якому будуть збережеш настройки. Наступного разу, вибравши у пункті "Файл" команду "Загрузить настройки" вкажіть ім'я файлу із конфігурацією.
Для того, щоб розпочати тестування клавішею ТАВ потрібно перейти на кнопку "Пуск" і натиснути клавішу ї, або вибрати команду "Пуск" в пункті меню "Поиск".
Вихід з оболонки можна здійснити комбінацією клавішів Alt+X, або в пункті "Файл" команда "Выход".
На &>огодні існують версії AVP для DOS, Windows 95/NT Workstation (Мал.4.4.), Novel Net Ware. Ведуться розробки для Windows NT Server і OS/2, в проекті AVP для Macintosh.
Серед українських користувачів існує деяка упереджена думка стосовно антивірусних програм західного виробництва, ніби вони не справляються з більшістю вірусів вітчизняного

 

Яндекс.Метрика >