Программа-детектор обнаруживает вирус когда
Антивирусная программа предназначена для обнаружения и обезвреживания угроз безопасности. Интересно, что в процессе эволюции антивирусы совершенствовали методы обнаружения: от определения вредоносов по сигнатурам до эвристического анализа и выявления подозрительного поведения.
Антивирусы делятся на сканеры и резидентные модули. Сканеры находят файлы на дисках, читают их и делают вывод об инфицировании вирусом. Резидентные антивирусы постоянно работают в оперативной памяти и проверяют каждый новый файл и программу на заражение вирусом. При таком подходе расходуются ресурсы компьютера: процессор и оперативная память. Именно из-за этого некоторые пользователи не любят антивирусы, не хотят собственноручно замедлять работу компьютера. Но работать без антивируса сегодня небезопасно, так можно делать только в случае полной уверенности в своих действиях и посещаемых ресурсах в интернете.
Методы обнаружения вредоносного ПО
В самом простом случае используется определение по сигнатурам. Сигнатура – это кусок кода вируса, который не изменяется. Базы данных антивирусов содержат именно сигнатуры известных вирусов. Простое сравнение программного кода по базе сигнатур 100% позволяет определить есть вирус или нет. Но и вирусы не стоят на месте, они используют полиморфные алгоритмы, с помощью которых сигнатура меняется. Также создаются новые вирусы, которые невозможно определить по имеющимся базам.
Следующим методом стал эвристический анализ, который более интеллектуально подходит к обнаружению угроз. Эвристический анализатор выявляет паттерны, т.е. закономерности поведения вирусов и таким образом может определить угрозу ещё до того, как станет известна её сигнатура. Так, например, под особым контролем программы, которые создают резидентные модули в памяти, напрямую обращаются к файловой системе или к загрузочным секторам, перехватывают программные и аппаратные прерывания, изменяют исполняемые (.exe) файлы.
Какие угрозы обнаруживаются антивирусами
Стоит отметить, что на самом деле вирус и вредоносная программа, это немного разные определения. Вредоносное ПО – это любой программный код, цель которого нанести вред или ущерб компьютеру, операционной системе или лично человеку, похитив конфиденциальные данные (пароли, данные кредитных карт, деньги с электронных кошельков). Вирус же способен самореплицироваться, т.е. самостоятельно распространяться, заражая другие программы и компьютеры. Пользователю нужно запустить вирус или инфицированную программу, чтобы он начал вредить.
Червь, в отличии от вируса, существует самостоятельно, не заражая другие файлы. Для заражения червём не требуется запуск заражённой программы или посещение инфицированного сайта. Червь использует сетевые уязвимости и эксплоиты операционки Windows. Эксплоит (exploit) – это код, последовательность команд, которая использует обнаруженную хакером брешь в системе безопасности, например ошибку при переполнении буфера, которая позволяет выполнить любой код.
Поэтому червь пролазит в компьютер сам, и затем дальше ищет другие уязвимости в сетях, к которым подключён компьютер. Червь может выполнять любые злонамеренные действия: кража паролей, шифрование файлов, нарушение работы ОС, перезагружать компьютер и т.д.
- Получают доступ к ядру ОС
- Изменяют системные файлы
- Маскируются под системные процессы
- Загружаются до запуска операционной системы
- Работают в теневом режиме
Всё это осложняет обнаружение и удаление руткитов.
Spyware – шпионские программы, которые следят за активностью пользователя в сети, запоминают нажатия клавиш, находят данные карт, кошельков, документы и передают их хакеру.
Adware – рекламное ПО, показывает рекламу в всплывающих окнах. Adware (ad, реклама) может долго оставаться незамеченным, внедряя рекламные баннеры на посещаемые сайты или заменяя имеющуюся рекламу на свою. Переход по рекламным ссылкам может повлечь заражение трояном или руткитом.
Ransomware – это вымогатели, которые шифруют личные и рабочие документы на дисках. Вымогатель требует выкуп за получение ключа расшифровки. Как правило, выкуп просят в биткоинах, но никакого ключа расшифровки не существует. Лечения от вымогателя не существует, данные теряются навсегда.
Следуйте правилам безопасности, работая за компьютером и в интернете, используйте антивирусное ПО, например Total AV.
Сайт СТУДОПЕДИЯ проводит ОПРОС! Прими участие :) - нам важно ваше мнение.
Признаки появления вирусов
Обнаружение вирусов и меры защиты от них
Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные) и компьютерные сети. Заражение жесткого диска может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А: и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.
Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус прежде всего переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов.
После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом заразиться может все программное обеспечение.
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:
1. прекращение работы или неправильная работа ранее успешно функционировавших программ;
2. медленная работа компьютера;
3. невозможность загрузки операционной системы;
4. исчезновение файлов и каталогов или искажение их содержимого;
5. изменение даты и времени модификации файлов;
6. изменение размеров файлов;
7. неожиданное значительное увеличение количества файлов на диске;
8. существенное уменьшение размера свободной оперативной памяти;
9. вывод на экран непредусмотренных сообщений или изображений;
10. подача непредусмотренных звуковых сигналов;
11. частые зависания, перезагрузка системы и сбои в работе компьютера и др.
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. В соответствии с выполняемыми функциями различают следующие виды антивирусных программ:
2. программы-доктора, или фаги;
5. программы-вакцины, или иммунизаторы.
Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Недостатком этого вида программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-ревизоры – это самые надежные средства защиты от вирусов. Они запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран. Обычно сравнение состояний они производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма), дата и время модификации и другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы. Часто эти программы позволяют и лечить, удаляя вирусы из файлов или дисков. К числу программ-ревизоров относится широко распространенная в России программа Adinf, которая запоминает важнейшие параметры системы, и если с файлом произошло нечто похожее на вторжение вируса, то она сообщает об этом.
Программы-фильтры, или сторожа представляют собой небольшие резидентные программы, предназначенные для обнаружения характерных для вирусов действий при работе компьютера. Такими действиями могут являться:
1. попытки коррекции файлов с расширением com, exe;
2. изменение атрибутов файла;
3. прямая запись на диск по абсолютному адресу;
4. запись в загрузочные сектора диска;
5. загрузка резидентной программы и др.
При попытке какой-либо программы произвести указанные действия программа сторож посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры способны лечат файлы и диски. Для уничтожения вирусов требуется применить другие программы, например, фаги. К недостаткам программ-сторожей можно отнести их назойливость, так как они постоянно выдают предупреждение о любой попытке копирования исполняемого файла, а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит Ms Dos. К преимуществам таких программ относят возможность обнаружения неизвестных вирусов.
Приведем ряд антивирусных программ, получивших распространение в странах СНГ.
Aidstest. Программа предназначена для обнаружения и исправления файлов, зараженных определенными типами вирусов, известными на момент ее создания. Версии программы постоянно пополняются по мере создания новых вирусов. При запуске программа AIDSTEST проверяет оперативную память на наличие известных ей вирусов и обезвреживает их.
Microsoft Antivirus (MSAV). Антивирус работает в режимах детектора-доктора или ревизора. MSAV имеет дружественный интерфейс с пользователем. В нем реализован доступ к пунктам меню.
В мире по достоинству оценивают Антивирус Касперского. Один из наиболее популярных испанских компьютерных журналов PC Actual опубликовал результаты очередного ежегодного тестирования антивирусных продуктов. В соответствии с ними, известный российский программный комплекс Антивирус Касперского второй год подряд не дал ни единого шанса своим соперникам и уверенно занял 1-е место по общему количеству набранных баллов. Тестирование продуктов производилось экспертами пан-европейского исследовательского центра Hispasec Sistemas, специализирующегося на изучении проблем компьютерной безопасности. В отличие от большинства существующих процедур испытания антивирусов, Pc Actual ограничился проверкой технических характеристик представленных программ. Также учитывалось и качество технической поддержки, оперативность реакции на появление новых вирусов, объем потребляемых ресурсов, доступность цены. Только совокупный показатель по всем перечисленным параметрам дает общую картину преимуществ и недостатков различных антивирусов и выявляет наиболее подходящий продукт для конечного пользователя. В итоге, Антивирус Касперского показал самый высокий результат среди всех представленных программ и получил 9 баллов из 10 возможных.
В резюме, завершающем сравнительное тестирование, авторы особо отметили выдающиеся характеристики Антивируса Касперского в области защиты от различных типов вредоносных программ, высокий уровень техническолй поддержки, лучшую реакцию на появление новых вирусов и исключительный эвристический алгоритм поиска неизвестных вирусов.
Пакет предназначен для пользователей, не имеющих на своих компьютерах резидентного монитора AVP (он уже содержит надежную защиту против макровирусов) или использующих другие антивирусные программы. Во втором случае, владельцы компьютеров смогут использовать AVP для Office 2000 в качестве дополнительного уровня защиты и на практике сравнить надежность AVP с другими антивирусами. AVP для Office 2000 распространяется бесплатно.
Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет
Трояны
Черви
Классификация вирусов
Вирусы
Вирусы и антивирусные программы
Основная черта компьютерного вируса - это способность к саморазмножению.
Компьютерным вирусом называется специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе на компьютере.
Условно жизненный цикл любого компьютерного вируса можно разделить на пять стадий:
- Проникновение на чужой компьютер
- Поиск объектов для заражения
Основные пути проникновения вирусов в компьютер: гибкие дискеты (fdd), CD(DVD)-диски, карты флэш-памяти, а также компьютерные сети.
Классифицировать вирусы можно по следующим признакам:
1. По среде обитания;
2. По способу заражения среды обитания;
3. По степени воздействия;
4. По особенностям алгоритмов.
1) По среде обитания
Файловые вирусы внедряются в выполняемые файлы (*.СОМ, *.ЕХЕ, *.SYS, *.BAT, *.DLL).
Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record).
Макро-вирусы, которые внедряются в системы, использующие при работе так называемые макросы (например, Word, Excel).
Сетевые вирусы распространяются по различным компьютерным сетям.
Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков; сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
2) По способу заражения среды обитания
Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.
Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
3) По степени воздействия
Неопасные вирусы не мешают работе компьютера, но уменьшают объем свободной оперативной памяти и памяти на дисках. Действия таких вирусов проявляются в каких-либо графических или звуковых эффектах.
Опасные вирусы могут привести к серьезным сбоям в работе компьютера.
Очень опасные вирусы могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти и т.п. (пример, вирус CIH (Чернобыль), способный уничтожать данные на жестком диске и в BIOS)
4) По особенностям алгоритмов
Паразитические вирусы изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.
Червь (сетевой червь) - это вредоносная программа, распространяющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом.
В зависимости от способа проникновения в систему черви делятся на типы:
- Сетевые черви используют для распространения локальные сети и Интернет;
- Почтовые черви - распространяются с помощью почтовых программ;
- IM-черви используют системы мгновенного обмена сообщениями (Instant Messenger - мгновенный обмен сообщениями. К IM-клиентам относятся такие программы как ICQ, MSN Messenger, Skype);
- IRC-черви распространяются по каналам IRC (Internet Relay Chat - ретранслируемый интернет-чат - система обмена сообщениями в режиме реального времени. mIRC - одна из самых популярных программ для IRC-чатов);
- P2P-черви - при помощи пиринговых файлообменных сетей (peer-to-peer - равный с равным - это одноранговые (их иногда называют также пиринговыми) компьютерные сети, то есть такие, где отсутствуют выделенные сервера, а все входящие в нее компьютеры выступают в двух ролях - и клиентом, и сервером. Такие сети в основном используются для организации обмена файлами, обычно музыкой и фильмами).
После проникновения на компьютер, червь должен активироваться (запуститься). По методу активации все черви можно разделить на две группы - на тех, которые требуют активного участия пользователя и тех, кто его не требует. В первом случае это черви, которым необходимо, чтобы владелец компьютера обратил на них внимание и запустил зараженный файл, во втором случае это черви, которые делают это сами, например, используя ошибки в настройке или бреши в системе безопасности операционной системы.
Трояны, в отличие от вирусов и червей, не обязаны уметь размножаться. Это программы, написанные только с одной целью - нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.
Жизненный цикл троянов состоит всего из трех стадий:
1. Проникновение в систему
3. Выполнение вредоносных действий
Проникать в систему трояны могут двумя путями - самостоятельно и в кооперации с вирусом или сетевым червем. В первом случае обычно используется маскировка, когда троян выдает себя за полезное приложение, которое пользователь самостоятельно копирует себе на диск (например, загружает из Интернет) и запускает. При этом программа действительно может быть полезна, однако наряду с основными функциями она может выполнять действия, свойственные трояну.
После проникновения на компьютер, трояну необходима активация и здесь он похож на червя - либо требует активных действий от пользователя или же через уязвимости в программном обеспечении самостоятельно заражает систему.
Поскольку главная цель написания троянов - это производство несанкционированных действий, они классифицируются по типу вредоносной нагрузки:
- Клавиатурные шпионы, постоянно находясь в оперативной памяти, записывают все данные, поступающие от клавиатуры с целью последующей их передачи своему автору.
- Похитители паролей предназначены для кражи паролей путем поиска на зараженном компьютере специальных файлов, которые их содержат.
- Анонимные SMTP-сервера (SMTP (от англ. Simple Mail Transfer Protocol - простой протокол передачи почты). Соответственно, почтовый сервер, который принимает и отправляет почту по этому протоколу, называется SMTP-сервером) и прокси-сервера (прокси-сервер - это сервер-посредник, в чьи задачи входит обрабатывание запросов, поступающих из своей сети, на получение информации, расположенной вне ее) - такие трояны на зараженном компьютере организовывают несанкционированную отправку электронной почты, что часто используется для рассылки спама (несанкционированная массовая рассылка почтовых сообщений).
- Утилиты дозвона в скрытом от пользователя режиме инициируют подключение к платным сервисам Интернет.
- Модификаторы настроек браузера меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна, имитируют нажатия на рекламные баннеры (баннер - графическое изображение рекламного характера) и т. п.
- Логические бомбы характеризуются способностью при срабатывании заложенных в них условий (в конкретный день, время суток, определенное действие пользователя или команды извне) выполнять какое-либо действие, например, удаление файлов.
Сетево́й протоко́л — набор правил, позволяющий осуществлять соединение и обмен данными между двумя и более включёнными в сеть устройствами.
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые называются антивирусными.
Различают несколько видов антивирусных программ:
1. Программы – детекторы (сканеры).
2. Программы- доктора или фаги.
3. Программы- ревизоры.
4. Программы- фильтры (программы-мониторы).
5. Программы- вакцины или иммунизатора.
Программы - детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ. (Scan и Aidstest)
Программы-доктора восстанавливают зараженные программы путем удаления из них тела вируса. Обычно эти программы рассчитаны на конкретные типы вирусов и основаны на сравнении последовательности кодов, содержащихся в теле вируса, с кодами проверяемых программ. Программы-доктора необходимо периодически обновлять с целью получения новых версий, обнаруживающих новые виды вирусов. (Norton Antivirus, Doctor Web, Антивирус Касперского (KAV), eset nod32)
Программы-ревизоры – анализируют текущее состояние файлов и системных областей дисков и сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяется состояние загрузочного сектора, FAT, длину, атрибуты и время создания файлов, контрольные суммы (суммирование по модулю 2 всех байтов файла). Пример такой программы – Adinf.
Программы – фильтры (программы-мониторы) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
· попытки коррекции файлов с расширением com, exe;
· изменение атрибутов файлов;
· запись в загрузочные сектора диска;
· загрузка резидентной программы и т.д.
Резидентная программа – это программа, которая постоянно находится в оперативной памяти.
Характеристика антивирусных программ
Дня обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.
Различают следующие виды антивирусных программ (рис. 11.11):
- · программы- детекторы;
- · программы-доктора или фаги;
- · программы-ревизоры;
- · программы-фильтры;
- · программы-вакцины или иммунизаторы.
Программы-детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Рис. 11.11 Виды антивирусных программ
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифагами являются программы Aidstest, Scan, Norton AntiVirus и Doctor Web.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.
Программа-ревизор относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционой системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf фирмы "Диалог-Наука".
Программы-фильтры или "сторожа" представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
- · попытки коррекции файлов с расширениями СОМ и ЕХЕ;
- · изменение атрибутов файлов;
- · прямая запись на диск по абсолютному адресу;
- · запись в загрузочные сектора диска;
- · загрузка резидентной программы.
При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение н предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит операционной системы MS DOS.
Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.
Программа-полифаг Aidstest. Aidstest - это программа, которая умеет обнаруживать и уничтожать более 1300 компьютерных вирусов, получивших наиболее широкое распространение в России. Версии Aidstest регулярно обновляются и пополняются информацией о новых вирусах.
Для вызова Aidstest следует ввести команду: AIDSTEST
[ ] где path - имя диска, полное имя или спецификация файла, маска группы файлов:
- · *- все разделы жесткого диска,
- · ** - все диски, включая сетевые и диски CD ROM;
- · options - любая комбинация следующих ключей:
- · /F - исправлять зараженные программы и стирать испорченные;
- · /G - проверять все файлы подряд (не только СОМ, ЕХЕ и SYS);
- · /S - медленная работа для поиска испорченных вирусов;
- · /X - стирать все файлы с нарушениями в структуре вируса;
- · /Q - спрашивать разрешение на удаление испорченных файлов;
- · /В - не предлагать обработку следующей дискеты.
Программа-полифаг Doctor Web. Эта программа предназначена прежде всего для борьбы с полиморфными вирусами, которые сравнительно недавно появились в компьютерном мире. Использование Dr. Web для проверки дисков и удаления обнаруженных вирусов в целом подобно программе Aidstest. При этом дублирования проверки практически не происходит, так как Aidstest и Dr.Web работают на разных наборах вирусов.
Программа Dr.Web может эффективно бороться со сложными вирусами-мутантами, которые оказываются не под силу программе Aidstest. В отличие от Aidstest программа Dr.Web способна обнаруживать изменения в собственном программном коде, эффективно определять файлы, зараженные новыми, неизвестными вирусами, проникая в зашифрованные и упакованные файлы, а также преодолевая "вакцинное прикрытие". Это достигается благодаря наличию достаточно мощного эвристического анализатора.
В режиме эвристического анализа программа Dr.Web исследует файлы и системные области дисков, пытаясь обнаружить новые или неизвестные ей вирусы по характерным для вирусов кодовым последовательностям. Если таковые будут найдены, то выводится предупреждение о том, что объект, возможно, инфицирован неизвестным вирусом.
Предусмотрены три уровня эвристического анализа. В режиме эвристического анализа возможны ложные срабатывания, т.е. детектирование файлов, не являющихся зараженными. Уровень "эвристики" подразумевает собой уровень анализа кода без наличия ложных срабатываний. Чем выше уровень "эвристики", тем выше процент наличия ошибок или ложных срабатываний. Рекомендуются первые два уровня работы эвристического анализатора.
Третий уровень эвристического анализа предусматривает дополнительную проверку файлов на "подозрительное" время их создания. Некоторые вирусы при заражении файлов устанавливают некорректное время создания, как признак зараженности данных файлов. Например, для зараженных файлов секунды могут иметь значение 62, а год создания может быть увеличен на 100 лет.
В комплект поставки антивирусной программы Dr.Web могут входить также файлы-дополнения к основной вирусной базе программы, расширяющие ее возможности.
Работать с программой Dr. Web можно в двух режимах:
- · в режиме полноэкранного интерфейса с использованием меню и диалоговых окон;
- · в режиме управления через командную строку.
Для разового нерегулярного применения более удобен первый режим, но для регулярного применения с целью систематического входного контроля дискет лучше применять второй режим. При использовании второго режима соответствующая команда запуска Dr. Web должна быть включена либо в меню пользователя операционной оболочки Norton Соmmander, либо в специальный командный файл.
Командная строка для запуска Dr. Web выглядит следующим образом: DrWeb [диск: [путь] ] [ключи] где диск:
- · Х: - логическое устройство жесткого диска или физическое устройство гибкого диска, например F: или А:,
- · *- все логические устройства на жестком диске,
- · путь - это путь или маска требуемых файлов.
Наиболее важные ключи:
- · /AL - диагностика всех файлов на заданном устройстве;
- · /CU[P] - "лечение" дисков и файлов, удаление найденных вирусов;
- · P - удаление вирусов с подтверждением пользователя;
- · /DL - удаление файлов, корректное лечение которых невозможно;
- · /НА[уровень] - эвристический анализ файлов и поиск в них неизвестных вирусов, где уровень может принимать значения О, 1, 2;
- · /RР[имя файла] - запись протокола работы в файл (по умолчанию в файл REPORT. WEB);
- · /CL - запуск программы в режиме командной строки, при тестировании файлов и системные областей не используется полноэкранный интерфейс;
- · /QU - выход в DOS сразу после тестирования;
- · /? - вывод на экран краткой справки.
Если в командной строке Dr.Web не указано ни одного ключа, то вся информация для текущего запуска будет считываться из файла конфигурации DRWEB.INI, расположенного в том же каталоге, что и файл DRWEB.EXE. Файл конфигурации создается в процессе работы с программой Dr.Web с помощью команды сохранения параметров, необходимых для тестирования.
Антивирус-ревизор диска ADinf. Ревизор ADinf позволяет обнаружить появление любого вируса, включая стелс-вирусы, вирусы-мутанты и неизвестные на сегодняшний день вирусы. Программа ADinf запоминает:
- · информацию о загрузочных секторах;
- · информацию о сбойных кластерах;
- · длину и контрольные суммы файлов;
- · дату и время создания файлов.
На протяжении всей работы компьютера программа ADinf следит за сохранностью этих характеристик. В режиме повседневного контроля ADinf запускается автоматически каждый день при первом включении компьютера. Особо отслеживаются вирусоподобные изменения, о которых немедленно выдается предупреждение. Кроме контроля за целостностью файлов ADinf следит за созданием и удалением подкаталогов, созданием, удалением, перемещением и переименованием файлов, появлением новых сбойных кластеров, сохранностью загрузочных секторов и за многим другим. Перекрываются все возможные места для внедрения вируса в систему.
Adinf проверяет диски, не используя DOS, читая их по секторам прямым обращением в BIOS. Благодаря такому способу проверки ADinf обнаруживает маскирующиеся стелс-вирусы и обеспечивает высокую скорость проверки диска.
Читайте также: