Фигурнов В. Э. Ф49 ibm pc для пользователя. Изд. 7-е, перераб и доп

Вид материала

Книга

Содержание Глава 36. Защита от вирусов при работе в DOS Часть 7. DOS для опытного пользователя Глава 36. Защита от вирусов при работе в DOS C:\exe\hiew. ехе Часть 7. DOS для опытного пользователя

Подобный материал:

• Курс лекций и практикум. 6-е изд., перераб и доп, 44.04kb.
• В. А. Алексунина 3-е изд., перераб и доп. М.: Дашков и К°, 2005. 716с, 8.09kb.
• Карпенков С. Х. Концепции современного естествознания: Учеб для вузов. 6-е изд., перераб, 1235.1kb.
• Тощенко Ж. Т. Социология: Общий курс. 2-е изд., доп и перераб. М.: Юрайт-М, 2001. 527, 49.36kb.
• Фролов И. Т. и др. 3-е изд, 14108.71kb.
• Лаврехин Ф. А. и Панкова С. В. Биология пчелиной семьи. Изд. 2-е, перераб и доп. М.,, 1857.45kb.
• Текст приводится по сборнику Конституции зарубежных государств: Учебное пособие/Сост, 2055.3kb.
• Сборник руководящих документов по заповедному делу, 11587.13kb.
• "Обучение детей технике рисования" Изд. 2-е, перераб и доп. М., «Просвещение», 1970., 1146.19kb.
•    Основные модели бухгалтерского учета и анализа в зарубежных странах : учеб пособие, 475.04kb.

Глава 36. Защита от вирусов при работе в DOS


Запуск программы


Проверяемые диски


Диалоговый или

пакетный режим


Режимы программы


После установки программы ADinf желательно установить и лечащий блок к ADinf Ч

ADinfExt (он же ADinf Cure Module), если Вы приобрели также и эту программу.


Замечания ^- Перед установкой программ ADinf и ADinf Cure Module (ADinfExt) следует

проверить компьютер на наличие известных вирусов с помощью антивирусных программ,

например Aidstest и Dr.Web.


2. Для использования ADinf при лечении компьютера целесообразно установить ADinf и на

дискету. Для этого скопируйте содержимое каталога с файлами программы ADinf дистрибу-

тивной дискеты на жесткий диск, запустите оттуда файл INSTALL.ЕХЕ, после чего укажите

программе установки, что это первая установка, а в качестве каталога задайте каталог на

дискете. При этом можно создать таблицы ADinf хотя бы на одном диске и задать имя таб-

лиц тем же самым, что и при установке ADinf на жесткий диск. Впрочем, таблицы ADinf

можно и не создавать, но тогда после запуска программы ADinf с дискеты надо указать имя

таблиц с помощью команды меню Параметры \ Настройки \ Файлы с таблицами.


Программа ADinf запускается командой вида:

ADINF [_диск:")... {режим.ы~}...

ADINF * {peжuм.ы']...


Впрочем, обычно пользователи переименовывают файл программы, как это рекоменду-

ет делать программа установки, так что вместо ADINF здесь надо указать правильное

имя файла с программой.


Параметр ^диск'.)... задает набор проверяемых дисков. Например, ADINF С: D: Ч про-

верка дисков С: и D:. Если вместо набора дисков задана звездочка, то программа про-

верит все диски, для которых она найдет таблицы ADinf.


Если в команде задан набор проверяемых дисков или звездочка, то программа запуска-

ется в пакетном режиме, проверяет указанные диски и заканчивает работу. Если же

набор проверяемых дисков не задан, программа запускается в диалоговом режиме и

пользователь может с помощью меню настраивать режимы программы, запускать про-

верку дисков, поиск невидимых (стеле) вирусов и т.д.


Режимы программы обычно указываются при ее запуске из командных файлов. Так,

программа установки ADinf вставляет в файл AUTOEXEC.BAT команду для запуска

ADinf с параметрами -А -В -D -L. Эти параметры означают следующее:


-А Ч не делать при работе несущественных остановок (скажем, не выводить сообще-

ний, что на диске ничего не изменилось):


-В


-D


-L-


Ч не закрашивать фон экрана (автор программы считает, что так программа вы-

глядит "более профессионально"):


Ч проверять диски один раз в сутки, это позволяет избежать излишних затрат

времени, если вызов программы ADinf стоит в файле AUTOEXEC.BAT;

- записать протокол проверки на диск.


Проверка дисков


Мы расскажем о других режимах программы ниже.


Программа ADinf выполняет проверку дисков при запуске программы в пакетном ре-

жиме (то есть когда в команде запуска программы задан набор проверяемых дисков), а

также при работе в диалоговом режиме при выборе в группе меню Работа пункта

Проверить все или пункта Проверить диск (в последнем случае надо предварительно

выбрать проверяемые диски в группе меню Диски).


При проверке программа выводит диаграмму, сообщающую о ходе проверки (рис.

36.1). Если в процессе проверки не произошло никаких чрезвычайных происшествий

типа сбоя на диске или обнаружения активного резидентного вируса, то проверка до-

водится до конца и на экран выводится сообщение об изменениях на диске.


Замечания. 1- Еще до проверки дисков (то есть сразу после запуска) программа ADinf

проверяет, не изменился ли ооъем оперативной памяти, доступной DOS, а также не изме-

нился ли в BIOS обработчик прерывания lntl3, отвечающего за низкоуровневый ввод-вывод

с дисками. Конечно, на большинстве компьютеров содержимое BIOS изменить невозможно,

но на некоторых компьютерах содержимое BIOS автоматически переносится в обычную

оперативную память (то есть создается так называемая теневая BIOS, по-видимому, это

делается для ускорения работы), а эту копию BIOS вирус может без труда изменить.


2. При проверке диска С:, а на компьютерах с двумя жесткими дисками Ч и диска D:, про-

грамма проверяет неизменность не только загрузочното сектора логического диска (Boot

record), но и главной загрузочной записи соответствующего жесткого диска (Master Boot

Record, MBR).


Часть 7. DOS для опытного пользователя


Сообщения об

изменениях


Рис. 36.1. Диаграмма хода проверки диска


3. Проверка плохих (точнее, помеченных как плохие) кластеров выполняется потому, что

некоторые вирусы помечают хороший кластер (участок) диска как сбойный и размещают

там свой код.


4. Поиск стелс-вирусов, то есть "невидимых" вирусов (последняя строка в списке выпол-

няемых действий на рис. 36.1) выполняется не для всех файлов на диске, а только для но-

вых, измененных или перемещенных файлов. Для поиска стелс-вирусов на всем диске сле-

дует в диалоговом режиме программы выбрать проверяемые диски в группе меню Диска и

затем пункт Поиск стеле в группе меню Работа.


5. ADinf может проверять также и таблицы параметров жестких дисков (Hard Disk Parame-

ter Tables). Однако многие современные контроллеры жестких дисков не используют эти

таблицы, так что по умолчанию проверка этих таблиц в программе отключена.


Если на анализируемом диске не произошло никаких изменений в системных областях

диска и контролируемых программой ADinf файлах, программа выводит сообщение о

том, что на диске изменений не произошло:


Сейчас Таблица от 17 час. 47 мин. 55 сек 17 час. 42 мин. 23 сек 3 сентября 3 сентября 1996 1996 года. года.

На диске: каталогов: 454, контролируемых файлов: 1808

Никаких изменений нет. if п Я R Mlh\/ :


Подозрительные

изменения


Если при запуске программы был задан параметр -А или -Авремя, .то сообщений об

отсутствии изменений на дисках не выводится: программа сразу приступает к проверке

следующего диска или завершает работу.


При обнаружении подозрительных изменений на диске программа выводит окно со

списком этих изменений. Найденные изменения в списке выделены и помечены слева

галочкой. Назначение этого окна Ч чисто информационное: предупредить Вас о воз-

можности появления вирусов на компьютере. После нажатия [tsc] или правой кнопки

мыши программа выведет окно с сообщением об изменениях на диске (см. ниже).


Внимание!


На диске обнаружены подозрительные изменения,

характерные для проявления вирусов!


Изменился главный загрузочный сектор


V Изменился загрузочный сектор

У измененных файлов не изменились дата и время

У измененных файлов установлено странное время

У измененных файлов установлена странная дата

Изменились файлы, занесенные в список неизменяемых


V Возможны стел с-вирусы в новых или измененных файлах


Нажмите Esc...


^ Глава 36. Защита от вирусов при работе в DOS


Сообщение об

изменениях


При наличии изменений на диске программа выводит окно с сообщением о них


Результаты проверки диска Е


Сейчас 20 час. 08 мин. 35 сек.

Таблица от 20 час. 06 мин. 55 сек.


5 сентября 1995 года.

4 сентября 1995 года.


На диске: каталогов: 126, контролируемых файлов: 982.

Изменения на диске:


F2 Master-boot сектор : Не проверялся

F3 Загрузочный сектор : Не проверялся

F4 Новых плохих кластеров : Нет


F6

F7

F8

F9


Стертых каталогов

Измененных файлов

Новых файлов

Стертых файлов

Перемещенных файлов

Переименованных файлов


87

Нет

Нет


Выбор: , ; Просмотр: ; Конец:


Запрос о дальнейших

действиях


Вы можете проанализировать каждое из изменений в деталях. Если щелкнуть строку

сообщения левой кнопкой мыши или выделить ее клавишами Q и Q и нажать

[Enter), или нажать клавишу, указанную в левой части соответствующей строки, то на

экран будет выведено окно с подробным описанием изменений:


Х для новых, перемещенных, измененных, переименованных или удаленных файлов

Ч предъявляется список этих файлов;


Х для новых или удаленных каталогов Ч дерево каталогов на диске, в котором новые

или удаленные каталоги выделены желтым цветом;


Х для новых сбойных кластеров Ч список номеров этих кластеров;


Х для главного загрузочного (Master Boot) или загрузочного сектора Ч таблицы дан-

ных, содержащиеся в старом и новом вариантах этих секторов.


При этом для новых, измененных, перемещенных и переименованных файлов Вы мо-

жете просмотреть файл, нажав (Тз), или отредактировать его, нажав (ТТ). При про-

смотре дерева каталогов Вы можете, нажав (EnteF), увидеть список контролируемых

программой файлов в этом каталоге, и т.д. Список действий, доступных в каждом окне,

и соответствующих клавиш, приведен в нижней части окна. По окончании просмотра

любого окна его можно закрыть, нажав ftscD или правую кнопку мыши.


После окончания просмотра окна с сообщением об изменениях на диске программа

выведет запрос о дальнейших действиях:


Обновить информацию о диске ?

Лечить Записать протокол


Обновить


Варианты ответа имеют следующее значение:


Обновить Ч внести изменения в таблицы ADinf, отражающие новое состояние диска.

Этот вариант надо выбирать, если изменения на диске вызваны известными Вам

причинами (установка нового пакета программ, нового драйвера, обновление вер-

сии пакета программ и т.д.);


Не обновлять Ч не менять таблицы ADinf, то есть при следующем запуске данные

изменения будут обнаружены снова. Этот вариант надо использовать, если Вы не

знаете причины изменений на диске и хотите по завершении программы ADinf

проверить компьютер на наличие вирусов. Перед выбором этого пункта полезно

вывести протокол изменений, если такой пункт есть в запросе (см. ниже);


Лечить Ч сформировать запрос на лечение файлов с помощью ADinf Cure Module

(лечащего блока к ADinf). В этом случае по окончании проверки всех указанных

дисков программа ADinf попросит поместить в дисковод А: лечебную дискету с

ADinf Cure Module и перезагрузит компьютер. Данный пункт запроса выводится,

только если на компьютере установлен ADinf Cure Module;


Записать протокол Ч при выборе этого пункта на экран выводится запрос имени

файла протокола. Можно (а при подозрении на наличие вируса Ч даже полезно)

указать в качестве имени файла PRN Ч при этом протокол изменений выводится

на принтер. По окончании записи (или печати) файла протокола программа снова

выведет запрос о дальнейших действиях, показанный выше. Пункт запроса Запи-


^ Часть 7. DOS для опытного пользователя


Прерывание

прочерки дискор


сать протокол не выводится, если при вызове программы был указан параметр

-L, так как в этом случае протокол изменений выводится всегда.


:3;iM("i.ininr'. При указании параметра -L файл протокола создается отдельно для каждого

диска и называется ADINF-x.LOG, где ж Ч буква диска. Протокол записывается в ката-

лог, в котором находится файл настроек (.INI-файл) программы. Это либо каталог, указан-

ный в режиме -HOME, либо, при отсутствии данного режима, каталог, в котором находит-

ся исполняемый файл программы, либо, при запуске с сетевого диска Ч каталог C:\ADINF.


Чтобы прекратить проверку диска, Вы можете в любой момент нажать клавишу (180)

или одновременно две кнопки мыши. Программа выведет запрос:


Прервать обработку диска ? Ч

Одного Всех выбранных


Если Вы выберете ответ Нет или нажмете правую кнопку мыши, программа продол-

жит проверку диска. Ответ Одного позволит прервать проверку текущего диска, а от-

вет Всех выбранных Ч прекратить проверку всех дисков.


1 Т 1 36.5. Действия при изменениях на диске

и при иных предупреждениях программы ADinf


Не игнорировать

сообщения

программы


Изменение объема

памя ти


Дадим некоторые рекомендации по действиям при изменениях на диске и при преду-

преждениях, выдаваемых программой ADinf.


Прежде всего, автор программы советует (и я к нему полностью присоединяюсь) нико-

гда не оставлять без внимания сообщения программы ADinf об изменениях на диске.

Это относится и к случаю, когда программа не считает изменения подозрительными

(см. пункт "Изменения в файлах" ниже). Поэтому при получении сообщения об изме-

ненных файлах не ленитесь Ч посмотрите, что это за изменения, знаете ли Вы, почему

они произошли. Если Вы не знаете причину произошедших изменений, проконсульти-

руйтесь с более опытными пользователями и проверьте компьютер на наличие вирусов

программами-детекторами типа Aidstest и Dr.Web.


Если ADinf обнаружит изменение объема оперативной памяти, доступной DOS, то

сообщит при этом сразу же после запуска программы ADinf:


Внимание!


Изменился объем оперативной памяти DOS!

Было: 640К, Стало: 634К (изменение 6К).


Это очень похоже на наличие загрузочного вируса?


Запомнить новое


Изменение

загрузочных

областей диска


Многие загрузочные вирусы размещают свое тело в конце первых 640 Кбайт оператив-

ной памяти, сообщая DOS о том, что ей доступно меньше памяти. Поэтому если Вы не

знаете причину изменения объема памяти, выберите ответ Продолжить так и внима-

тельно следите за всеми изменениями на диске, о которых сообщает ADinf. Если Вы

точно знаете причину изменения объема памяти, выберите ответ Запомнить новое,

после чего при последующих запусках ADinf будет использоваться новое значение

объема памяти.


Если ADinf обнаруживает, что на логическом диске изменился загрузочный сектор

(Boot record) или начальный сектор жесткого диска (главный загрузочный сектор,

Master Boot Record), содержащий таблицу разбиения жесткого диска, то ADinf выдает

сообщение о подозрительных изменениях на диске (см. выше). После этого в окне с

сообщением об изменениях на диске Вы можете выделить строчку "Master-boot сек-

тор" или "Загрузочный сектор" нажать { Enter). При этом программа выведет окно с

объяснением ситуации:


^ Глава 36. Защита от вирусов при работе в DOS


Внимание!


Изменился эагруэочный сектор!


Изменение системных областей может быть вызвано как

действиями вируса, так и законными действиями ряда

программ. Например, изменение может произойти при

установке новой версии операционной системы. Вы мо-

жете восстановить прежнее состояние, сохраненное в

таблице ADinf, или продолжить просмотр изменений.

Если Вы не уверены, надо ли восстанавливать загру-

эочныЙ сектор, остановите работу на компьютере и

обратитесь к специалисту.


Восстановить


Продолжить


Вы можете выбрать одну из трех возможно-

стей:


Продолжить Ч если Вы не хотите восста-

навливать с помощью ADinf содержи-

мое измененного сектора;


Восстановить Ч чтобы восстановить с

помощью ADinf содержимое изменен-

ного сектора;


Подробнее Ч чтобы посмотреть таблицу с

информацией в старом и новом секто-

ре. После просмотра ADinf снова выве-

дет запрос о действиях, показанный

выше.


М/

^


Сообщение об

активном

степс-вирусе


При выборе ответа Восстановить ADinf спросит еще раз, уверены ли Вы в том, что

хотите сделать. Если Вы упорствуете в своих намерениях, программа запросит имя

файла, в который следует записать измененный (возможно, зараженный вирусом) за-

грузочный сектор или главный загрузочный сектор. Можно ответить ГЕзсП, и тогда про-

грамма не будет сохранять измененный сектор, однако это неразумнсГ{см. ниже). По-

сле записи измененного сектора программа запросит разрешение на перезагрузку ком-

пьютера. Рекомендую без малейшего промедления согласиться на это предложение,

поскольку вирус (если изменение вызвано вирусом) остается активным в оперативной

памяти и может повторно заразить восстановленный ADint сектор.


Вообще говоря, сразу восстанавливать с помощью ADinf загрузочный сектор или глав-

ный загрузочный сектор я бы не советовал: правильное лечение от последствий зара-

жения многими видами загрузочных вирусов отнюдь не исчерпывается восстановлени-

ем загрузочного сектора или главного загрузочного сектора. Например, если Вам

"повезло" подхватить вирус, шифрующий содержимое жесткого диска, то надо еще и

расшифровать зашифрованные им данные. Но как раз своим вмешательством Вы унич-

тожите симптомы "болезни" и сделаете лечение с помощью антивирусных программ-

детекторов (Aidstest, Dr.Web и др.) невозможным Ч они просто не поймут, что компь-

ютер был заражен загрузочным вирусом.


Поэтому я бы посоветовал при появлении сообщения об изменении загрузочного сек-

тора или главного загрузочного сектора (если Вы перед этим не переразбивали жест-

кий диск, не устанавливали новую версию операционной системы и т.д., в результате

чего данные сектора могли измениться), не восстанавливать сразу эти сектора с помо-

щью ADinf, а перезагрузить компьютер с чистой системной дискеты (разумеется,

"правильно", как это описано в главе II), и запустить антивирусные программы-

детекторы. И лишь если они не опознают заразивший компьютер вирус, то можно вос-

пользоваться данной возможностью ADinf, запустив его с дискеты.


Для новых и измененных файлов ADinf сравнивает длины и контрольные суммы фай-

лов, получаемые посредством запросов к DOS, с фактическими, получаемыми путем

непосредственного чтения секторов диска. Если ADinf обнаруживает несовпадение, то

сразу же прекращает проверку диска и выдает сообщение, например:


Внимание !

Для файла


^ C:\EXE\HIEW. ЕХЕ

длина, сообщаемая DOS, не совпадает с фактической!


DOS сообщает: 25396, фактически: 21380, разница: 4016.

Возможно, в памяти активный стелс-вирус!


Продолжить


Просмотр


Перезагрузка


Продолжение проверок может привести к дальнейшему заражению

файлов, сканируемых ревизором! Рекомендую прекратить проверки,

вставить в дисковод А: защищенную от записи системную дискету

и, выбрав строку ПЕРЕЗАГРУЗКА, загрузить чистую операционную

систему. При дальнейших исследованиях не запускайте исполняе-

мых файлов с зараженного диска!


Лучше всего не отвечать на этот запрос вообще, а вставить в дисковод А: защищенную

от записи загрузочную дискету, нажать на кнопку "Reset" и правильно, как это было


^ Часть 7. DOS для опытного пользователя


Появление новых

дефектных кластеров


Изменения в файлах


\i/

^


Прочие


предупреждения

ADinf


описано в главе II, перезагрузить компьютер, после чего начать его лечение с помо-

щью антивирусных программ-детекторов типа Aidstest, Dr.Web и др.


Новые дефектные (сбойные) кластеры на диске могут образоваться, если Вы запускали

программу типа Norton Disk Doctor для проверки диска и она забраковала некоторые

кластеры, пометив их как дефектные (см. главу 35). В этом случае сообщение ADinf о

появлении новых дефектных кластеров следует игнорировать. Но если Вы не проверя-

ли поверхность диска с помощью Norton Disk Doctor или аналогичной программы, то

появление новых дефектных кластеров, как правило, свидетельствует о появлении

вируса на Вашем компьютере. Внимательно проанализируйте изменения на диске, по-

скольку вирус должен не только пометить какие-то кластеры как дефектные, но и из-

менить либо файлы, либо загрузочный сектор, либо главный загрузочный сектор

(иначе тело вируса, записанное в псевдодефектных кластерах, никогда не получит

управление). По окончании проверки диска перезагрузите компьютер с чистой систем-

ной дискеты ("правильно", как это описано в главе II) и попробуйте вылечить компь-

ютер с помощью антивирусных программ-детекторов.


ADinf считает изменения в файлах "подозрительными" в следующих случаях:


Х если дата и время модификации файла не изменились, а размер файла увеличился

или остался прежним,


Х если дата или время модификации файла стали необычными: число больше 31, ме-

сяц больше 12, год больше текущего, минут больше 59, часов больше 23 или секунд

больше 58,


Х если имя файла указано в списке неизменяемых файлов программы ADinf.


Стоит обратить внимание на то, что ADinf относит к числу подозрительных далеко не

все изменения на диске, делаемые вирусом, а лишь те, которые характерны для виру-

сов и нехарактерны для остальных программ. Например, если вирус изменит исполни-

мый файл, поменяв хотя бы на две секунды его дату и время последней модификации

(а эти секунды не отображаются большинством программ), то программа ADinf не со-

чтет изменение подозрительным Ч ведь при установке новой версии какой-либо про-

граммы, ее перекомпиляции и т.д., также меняется содержимое исполнимых файлов и

время их модификации. Аналогично, если вирус изменит файл, уменьшив его размер

(за счет сжатия содержимого), то это изменение также не будет сочтено подозритель-

ным Ч ведь точно так же поступают программы-упаковщики исполнимых файлов типа

Diet, PKLITE, ЕХЕРАСК и т.д.


Поэтому при получении сообщения об измененных файлах не поленитесь Ч посмотри-

те, что это за файлы, и знаете ли Вы, почему они изменились. Особенно осторожным

надо быть, если на диске изменилось много файлов (это типично для некоторых виру-

сов). Если Вы не знаете причину происшедших изменений, выведите протокол измене-

ний на принтер и проверьте компьютер на наличие вирусов программами-детекторами

типа Aidstest и Dr.Web. В случае сомнений проконсультируйтесь с более опытными

пользователями.


Замечание. Чтобы понапрасну не тратить время на отслеживание изменений файлов в тех

каталогах, в которых Вы часто меняете файлы, например создаете программы, целесообраз-

но сообщить ADinf имена таких рабочих каталогов. Это делается с помощью команды меню

Параметры \ Настройки \ Что контролировать \ Рабочие кат. (здесь символом 1

отделены пункты меню, которые надо последовательно выбирать). Для рабочих каталогов

ADinf сообщает только о подозрительных с его точки зрения изменениях.


Программа ADinf выявляет также следующие ситуации:


Х изменение самой программы ADinf;


Х изменение обработчика Int 13h, то есть прерывания низкоуровневого ввода-вывода,

в BIOS (при организации так называемой теневой BIOS в оперативной памяти это

вполне возможно);


Х попытку отобрать у ADinf обработку прерывания 76h (прерывания, с помощью ко-

торого контроллер жестких дисков типа IDE сообщает о завершении операций вво-

да-вывода с диском).


В подобных случаях перезагрузите компьютер с чистой системной дискеты

("правильно", как это описано в главе II) и попробуйте вылечить компьютер с помо-

щью антивирусных программ-детекторов.