Вирусу раммы раммы вируса вируса

Рис. 43

Загрузочные CV поражают программу первоначальной загрузки на диске и программу выбора активного раздела винчестера. В результате CV начинает работать уже при загрузке компьютера.

Драйверные CV поражают программы-драйверы устройств. В результате при каждом обращении к устройству активизируется CV.

Системные CV поражают файлы ядра операционной системы и активизируются при загрузке компьютера

Командные CV поражают командные файлы. Они с помощью команд echo ( и др.) формируют на диске исполняемый файл вируса, вызывают его на исполнение и после размножения в командном файле остается только короткая команда вызова CV.

Документальные CV заражают файлы-документы, созданные программами: Word for Windows, Excel for Windows и др. При создании документа в такие файлы вставляются невидимые макрокоманды специализированной версии языка Basic. CV записывается в глобальный шаблон Normal.dot и за счет этого распространяется на все формируемые и сохраняемые документы. Запуск CV осуществляется при от­крытии документа на редактирование за счет автоматического выполнения "неви­димой" команды AutoOpen.

С целью скрытного исполнения CV обычно применяют следующие методы маскировки:

Ø невидимость: в ответ на команды операционной системы на получение сведений о файлах, CV формирует сведения о файлах в незараженном виде; CV может также прятать свое тело на диске, модифицируя FAT так, что участок своего хранения на диске помечается как дефектный;

Ø шифрование кода: CV кодирует свое тело, чтобы затруднить свое обнаружение по типовым фрагментам размножения, текстовым сообщениям и т.п.; наиболее изощренным методом шифровки обладают "полиморфные" CV, шифрующие код с новым ключом шифра при каждой активизации.

Вред, наносимый CV:

Ø нежелательные визуальные и графические эффекты, например, осыпание в нижние строки с тихим шорохом символов, изображенных на мониторе, переворачивание изображения на 180⁰ , замена символов иероглифами и т.п.;

Ø порча файловой структуры магнитных носителей: уничтожение таблицы разделов, таблицы FAT, модификация и удаление файлов;

Ø порча аппаратуры компьютера, например, винчестерского диска за счет перевода головок в режим дрожания в строго рассчитанном ритме обмена информацией (в результате головка ударяется о поверхность диска и сдирает ферролак);

Ø воздействие на пользователя: воспроизведение инфразвука частотой 6..7 Hz на высококлассных акустических системах, подбор цветовых гамм со скрытным их изображением на дополнительных кадрах с целью вредного воздействия на психофизиологическое состояние организма и подсознание, и т.п.

Для борьбы с СV используются следующие антивирусные программы:

Ø детекторы (обнаруживают файлы, зараженные известными CV, по их типовым фрагментам);
Ø ревизоры [34] (запоминают сведения о состоянии файлов и системных областей незараженных дисков, а при перезагрузках компьютера сравнивают текущее состояние с исходным и сообщают пользователю об обнаруженных несоответствиях);

Ø сторожа (располагаются в RAM резидентно[35] и проверяют на наличие CV загружаемые дискеты и запускаемые программы, а также сообщают о попытках выполнения "опасных" операции в обход ОС [36]);

Ø иммунизаторы (модифицируют программы так, что те осуществляют саморевизию на наличие CV при запуске, используя собственную " контрольную сумму ");

Ø доктора (могут обезвредить CV, обманывая его тем, что выполняют и анализируют зараженные программы на воображаемом компьютере с помощью программ: " эмулятора процессора " и " эвристического анализатора ").

Популярными антивирусными программами являются: AidsTest, Dr Web, NAV.

ØØØ Описание антивируса-детектора AidsTest

AidsTest не распознает полиморфные CV, не имеет эвристического анализатора для обнаружения неизвестных ему CV, не проверяет и не лечит файлы в архивах. Однако высокое быстродействие, возможность обнаружения известных CV и лечения файлов делают эту программу привлекательной.

Программа запускается командой: aidstest "объект_ проверки" [ / режим..]

Объектом проверки могут выступать: u - указанные логические диски (например, С: D: E:), v - все логические диски (**), w - указанный каталог (например, \dos), x - указанные файлы (например, *.com test.exe), y - все файлы текущего каталога (.). Распостраненными являются режимы: / g - проверка всех файлов, а не только программных, / f - исправление зараженных фай­лов и удаление испорченных, / s - тщательный медленный поиск CV.

ØØØ Описание антивируса-доктора Dr Web

Dr Web тестирует память и загрузочные секторы диска на наличие CV, распознает полиморфные CV, т.к. имеет эвристический анализатор для обнаружения неизвестных ему CV, обнаруживает резидентные в памяти CV, проверяет и лечит файлы в архивах, однако имеет невысокое быстродействие. Программа запускается командой: drweb и работает в диалоговом режиме. В основное меню программы можно перейти нажатием < Alt >. Режимы работы настраиваются командами " Настройки½Параметры ". Командами "Настройки½Файлы " можно задать объекты проверки: все файлы, только программные или же указать родовое имя (шаб­лон) имен файлов.

ØØØ Описание антивируса-детектора-доктора NAV

Norton Anti Virus (NAV) запускается средствами Windows'95; после запуска на экран выводится окно (рис. 44). Используя команду " Поиск " или группу " Дис­-

Рис. 44

ки ", необходимо указать тестируемые логические диски, папки и файлы. Кнопка " Параметры " показывает новое окно с вкладками, позволяющими задать:

Ø объекты тестирования (вкладкой " Поиск "): память, главную загрузочную запись диска, загрузочные записи направлений, архивированные файлы, все файлы или только программные;

Ø параметры автозащиты (вкладкой " Автозащита "): при запуске, открытии, создании, все файлы или только программные; при обнаружении вируса можно указать режим исправления или удаления зараженных файлов;

Ø объекты защиты от CV при запуске (вкладкой " Запуск "): память, главная загрузочная запись, загрузочные записи, системные файлы;

Ø список нетестируемых объектов (вкладкой " Исключения ").

В комплекте NAV имеется программа-сторож NAVTSR, вызов которой включается в autoexec.bat. NAV использует базу данных[37] из более чем 6400 (!) известных CV, постоянно обновляемую и доступную через Internet.

 

 

 

Утилит предназначен для форматирования диска (дискета) в различных режимах на стандарт­ные емкости.

Он запускается командой MSDOS: sformat.exe, что приводит к появлению окна диалога (рис. 45). Выбором кнопки q можно задать: наименование дисковода с

Рис. 45

форматируемым диском, объем диска и режим форматирования:

Ø Quick: в этом режиме только опустошаются корневой каталог и FAT;

Ø DOS: этот режим низкоуровневого форматирования (стирающего всю инфор­мацию диска) подобен работе утилита format MSDOS, однако работает быстрее;

Ø Safe: в этом режиме запоминается системная информация[38] и проверяется физическая поверхность диска; если диск не форматирован, то этот режим аналогичен режиму DOS.

Кроме того, на диск можно перенести файлы ядра MSDOS командами "System files ½Put on disk ". Форматирование запускается выбором кнопки " Format ". В процессе форматирования пользователь информируется о ходе форматирования и результатах разметки диска (количестве хороших и дефектных секторов, объеме доступного дискового пространства и т.п.).

Утилит проверя­ет диск на наличие физических и ло­гических ошибок и предоставляет возможность по­ль­зо­вателю испра­вить логические ошибки. К физи­ческим ошибкам относятся ошибки, возникшие из-за физического повреждения поверхности диска. К логическим ошибкам относятся:

Ø " общие кластеры " - области диска (кластеры), одновременно распределенные под несколько файлов; при обнаружении подобных ошибок можно: исправить ошибку дублированием кластеров для каждого файла или удалить сбойные файлы;

Ø " потерянные цепочки " - кластеры, не принадлежащие ни одному файлу; при обнаружении подобных ошибок можно удалить сбойные кластеры или сохранить кластеры для дальнейшего анализа и обработки.

Запуск утилита осуществляется командой MSDOS: ndd.exe. Необходимо указать диагностируемый диск, выбрать кнопку " Diagnose " и в окне диалога установить один из режимов работы: u - " Diagnose Disk " (для интегрального тестирования диска), v - " Surface Test " (для тестирования поверхности диска на наличие физических ошибок). Обычно в процессе диагностики проверятся: таблица разделов, загрузочная запись, таблица FAT, структуры файлов и каталогов, потерянные кластеры.

Утилит производит реструктуризацию файлов на диске с целью объединения отдельно расположенных кластеров каждого файла в непрерывную область на диске. Это значительно ускоряет работу компьютера с файловой структурой диска. Запуск утилита осуществляется командой MSDOS: speedisk.exe. Это приводит к появлению окна диалога, в котором следует: u - указать оптимизируемый диск, v - выбрать кнопку " Оk ", w - выбрать кнопку " Запуск ". В результате на экране отображаются оперативные изменения карты диска (рис. 46).

Рис. 46

В процессе работы проверятся: таблица разделов, загрузочная запись, структуры файлов и каталогов, поверхность диска.

 

Утилит проверяет диск на наличие физических и логических ошибок и предоставляет возможность пользователю исп­равить логические ошибки. Запуск утилита осуществляется ко­мандами " Пуск½Программы½Стандартные½Слу­жеб­ные программы½Проверка диска ", что приводит к появлению окна диалога (рис. 47). Необходимо выбрать диск для проверки и

Рис. 47

в области " Про­вер­ка " установить режим проверки (" Стандартная " или " Полная "). Для автоматического исправления ошибок следует установить флажок " Исправ­лять автоматически ".

Утилит производит реструктуризацию файлов на дис­ке с целью объединения отдельно расположенных клас­теров каждого файла в непрерывную область на диске. Это значительно ускоряет работу компьютера с файловой стру­к­турой диска. Запуск утилита осуществляется командами " Пуск½ Программы½ Стандартные½ Служебные программы½Дефрагмен­та­ция диска "; это приводит к появлению окна диалога, в котором следует выбрать диск для оптимизации и последовательно нажать кнопку " Оk " и в следующем окне (рис. 48),- " Запуск ". В результате на экране изображается изменяющаяся карта диска (рис. 49), обозначения в которой можно просмотреть кнопкой " Легенда ".

 

 

Рис. 48

Рис. 49