Фигурнов В. Э. Ф49 ibm pc для пользователя. Изд. 7-е, перераб и доп
| Вид материала | Книга |
- Курс лекций и практикум. 6-е изд., перераб и доп, 44.04kb.
- В. А. Алексунина 3-е изд., перераб и доп. М.: Дашков и К°, 2005. 716с, 8.09kb.
- Карпенков С. Х. Концепции современного естествознания: Учеб для вузов. 6-е изд., перераб, 1235.1kb.
- Тощенко Ж. Т. Социология: Общий курс. 2-е изд., доп и перераб. М.: Юрайт-М, 2001. 527, 49.36kb.
- Фролов И. Т. и др. 3-е изд, 14108.71kb.
- Лаврехин Ф. А. и Панкова С. В. Биология пчелиной семьи. Изд. 2-е, перераб и доп. М.,, 1857.45kb.
- Текст приводится по сборнику Конституции зарубежных государств: Учебное пособие/Сост, 2055.3kb.
- Сборник руководящих документов по заповедному делу, 11587.13kb.
- "Обучение детей технике рисования" Изд. 2-е, перераб и доп. М., «Просвещение», 1970., 1146.19kb.
- Основные модели бухгалтерского учета и анализа в зарубежных странах : учеб пособие, 475.04kb.
LU 36.6. Специальные режимы работы программы ADinf
Поиск степс-вирусов
Пример
Построение таблиц
Пример
Режим Fast
Режим Info
Задав при запуске программы параметр -SS или запустив ее в диалоговом режиме,
выбрав проверяемые диски в группе меню Диски и затем пункт меню Поиск стеле в
группе меню Работа, Вы можете выполнить проверку дисков на наличие стелс-
вирусов, то есть невидимых, маскирующих свое присутствие на компьютере вирусов
(см. главу II). При этой проверке ADinf сравнивает длины и контрольные суммы фай-
лов на дисках, получаемые посредством запросов к DOS, с фактическими, получаемы-
ми путем непосредственного чтения секторов диска. Если ADinf обнаруживает несов-
падение, то сразу же прекращает проверку и выдает сообщение об активном стеле-
вирусе (см. п. 36.5). По умолчанию программа ADinf выполняет поиск стелс-вирусов
только в новых и измененных файлах, да и эту проверку можно отключить.
ADINF С: D: Е: -SS Ч поиск стелс-вирусов на дисках С:, D: и Е:.
При подключении новых дисков на них следует создать таблицы программы ADinf Ч
только после этого программа сможет проверять эти диски. Для создания таблиц надо
либо указать при запуске программы ADinf параметр -W, либо запустить программу в
диалоговом режиме, выбрать в группе меню Диски те диски, на которых должны быть
созданы таблицы, и затем Ч пункт меню Создать таблицы в группе меню Работа.
ADINF Е: F:-WЧ создание таблиц программы ADinf на дисках Е: и F:.
Если включить так называемый "режим P'ast" с помощью параметра -F или команды
меню Параметры \ Режимы работы \ Режим fast включен, то программа не будет
проверять контрольные суммы файлов. При этом скорость проверки слегка повысится,
но ценность ее результатов значительно снизится: Вы сможете получить только ин-
формацию о новых, стертых файлах и каталогах, а также о файлах, у которых измени-
лась длина. Кроме того, в этом режиме таблицы с информацией о диске не обновляют-
ся. Поэтому не рекомендую включать этот "режим Fast" (на месте автора я бы вообще
его выкинул, чтобы не смущать людей).
Если при запуске программы задать параметр -i или задать с помощью меню режим
Параметры \ Режимы, работы \ Режим info включен, то программа после проверки
дисков не будет производить обновление таблиц. Этот режим может быть полезен,
если Вы не хотите записывать какую-либо информацию на диск (скажем, при лечении
от вируса).
LU 36.7. Настройка программы ADinf
Метод доступа
к дискам
Доступ через
Int 13h
В этом параграфе мы дадим некоторые рекомендации по настройке программы ADinf.
При этом мы будем отделять вертикальной чертой 1 пункты меню программы, которые
надо последовательно выбирать.
Программа ADinf может работать с дисками, не используя услуги DOS, а обращаясь
непосредственно в BIOS компьютера. Однако это возможно не для всех дисков, поэто-
му ADinf может использовать и другие методы доступа к дискам:
Х через использование прерывания Int 13h (прерывания низкоуровневого ввода-
вывода с дисками),
Х через использование прерываний Int 25h и Int 26h Ч прерываний дискового ввода
и вывода DOS.
Чем выше уровень доступа к дискам, тем более уязвима программа ADinf по отноше-
нию к вирусам. Ведь вирус может встроиться в любое промежуточное звено между
ADinf и диском и начать обманывать ADinf, скрывая от нее истинное положение дел на
диске. Поэтому лучше всего использовать доступ к дискам через BIOS, хуже Ч через
прерывание Int 13h, еще хуже Ч'через прерывание Int 25h/26h.
Доступ через прерывание Int 13h необходимо использовать для жестких дисков, доступ
к которым осуществляется через драйвер, например:
Х для дисков, разбитых нестандартными средствами типа Disk Manager, ADM и др.;
Х для IDE-дисков емкостью более 528 Мбайт при наличии контроллера IDE (а не
EIDE),
Часть 7. DOS для опытного пользователя
Доступ через Int 25h
Установка способа
доступа
Общие или личные
таблицы
Установка рабочих
каталогов
Контролируемые
файлы
Контролируемые
расширения,
программы просмотра
и редактирования
* для некоторых старых дисков с более чем 1024 цилиндрами, если эти диски не
снабжены средствами логической переадресации,
Х для дисков, подключенных к некоторым устаревшим SCSI-контроллерам.
Вообще я бы не рекомендовал применять такие диски или контроллеры Ч жесткий
диск с протезом в виде драйвера Ч малонадежное сочетание.
зцмецацця. 1- Практически для всех современных SCSI-контроллеров для доступа к жест-
ким ^ЙГ-дискам драйверы но требуются Ч все необходимые для этого программы находят-
ся в расширении ljlOS на плате SCSI-контроллера. Если драйверы и используются, то не
для доступа к жестким дискам, а для организации ASPI-интерфейса (интерфейса с другими
SCSI-устройствами), поддержки особенностей компакт-дисков, съемных дисков и т.д.
2. При работе программы ADiiif под диспетчером памяти QEMM с использованием стелс-
режима QEMM (то есть параметров ST:F или ST:M драйвера QEMM386.SYS) доступ ко
всем дискам необходимо осуществлять через 1п1 1311. Дело в том, что в этом режиме QEMM
может отводить некоторые адреса BIOS для программ, в результате чего обработчик Int 13h
окажется недоступен. Не рекомендую использовать стелс-режим QEMM Ч несколько лиш-
них Кбайт редко настолько существенны, чтобы ради них стоило рисковать устойчивостью
компьютера.
Доступ через прерывания Int 25h и Int 26h необходим для псевдодисков, управляемых
специальным драйвером, например, для сжатых дисков, созданных программами
DriveSpace, DoubleSpace, Stacker и т.д., для секретных дисков, созданных программой
DiskReet и др. Как правило, программа ADinf автоматически распознает такие диски и
сама устанавливает доступ к ним через прерывания Int 25h/26h.
Чтобы установить способ доступа к дискам, следует выбрать команду меню Парамет-
ры \ Настройки \ Обращение к дискам. В выведенном списке можно менять мето-
ды доступа к дискам, щелкая пункты списка мышью или выделяя их и нажимая [ТпТе^).
Как правило, для всех логических дисков, расположенных на жестком диске, в списке
должен быть указан метод доступа "BIOS", а для сжатых, секретных и иных дисков,
созданных специальными драйверами Ч "Int 25h". Однако если Вы точно знаете, что
с жестким диском без драйвера работать нельзя, установите для всех логических дис-
ков, расположенных на этом жестком диске, метод доступа "Int 13h".
Программа ADinf специально для пользователей "персональных компьютеров коллек-
тивного пользования" обеспечивает так называемый режим личных таблиц, в котором
каждый пользователь компьютера может контролировать свои файлы. Мы не будем
здесь рассматривать этот режим, столь же удобный, как коммунальная кухня, а будем
предполагать, что установлен режим общих таблиц (режим Таблицы общие в группе
меню Параметры).
Чтобы не тратить время на отслеживание изменений файлов в тех каталогах, в кото-
рых Вы создаете программы и часто меняете иные контролируемые файлы, следует
сообщить ADinf имена таких рабочих каталогов. Для рабочих каталогов ADinf будет
сообщать только о подозрительных с его точки зрения изменениях.
Установка рабочих каталогов выполняется с помощью команды меню Параметры \
Настройки \ Что контролировать \ Рабочие кат. В выведенном списке надо вы-
брать диск, а затем в окне с деревом каталогов на диске отметить нажатием клавиши
r^nteT) или щелчком левой кнопки мыши рабочие каталоги (они выделяются красным
цветом). По окончании выбора нажмите клавишу CES^T) или правую кнопку мыши.
^ямрчянир По умолчанию программа ADinf считает рабочими каталоги с именами ТМР,
ТЁМР TEMPO, CACHE, SPOOL, DESKTOP, FAVORI-I. PIF, RECENT, HISTORY и RECY-
CLED, а также все подкаталоги этих каталогов.
Программа ADinf может контролировать все файлы на дисках, но обычно это неудобно,
так как в ходе обычной работы на диске меняется много файлов, и информация о воз-
действии вирусов может просто затеряться среди сведений о многочисленных измене-
ниях в файлах документов, баз данных и т.д. Поэтому обычно ADinf настраивается на
обработку только файлов с некоторыми определенными расширениями (режим Пара-
метры 1 Настройки \ Что контролировать \ Расширения \ По списку).
Для определения списка контролируемых программой расширений выберите команду
меню Параметры \ Настройки \ Список расширений \ Расширения. В выведенном
списке Вы можете добавить или удалить расширения, а также назначить для каждого
из них программу просмотра (столбец Viewer) и программу редактирования (столбец
Editor). Эти программы будут вызываться при просмотре списков новых, измененных,
переименованных или перемещенных файлов при нажатии (Тз^ и CFT) (см. п. 36.4 вы-
ше). А для того, чтобы программа ADinf могла найти указанные Вами программы про-
^ Глава 36. Защита от вирусов при работе в DOS
Методы проверки
файлов
Непроверяемые
файлы
Список
неизменяемых
файлов
Контроль новых и
измененных файлов
Прочие проверки
Конфликт с кэшем
смотра и редактирования, список каталогов, содержащих эти программы, надо ввести в
команде меню Параметры \ Настройки \ Пцти для вьюеров.
Кроме того, для каждого расширения Вы можете задать, каким образом производится
проверка файлов с данным расширением. Для этого следует выбрать команду меню
Параметры \ Настройки \ Список расширений \ Тип CRC. Всего существует три
варианта проверок файлов:
Без CRC Ч не рассчитывать контрольные суммы для файлов с данным расширением
(при этом контролируется только длина файла):
Быстрые CRC Ч рассчитывать контрольные суммы для критически важных участков
файлов. Этот способ обеспечивает надежную защиту от вирусов при малых за-
тратах времени, однако он годится только для исполнимых файлов и динамиче-
ских библиотек, поэтому его имеет смысл назначать для файлов с расширениями
.СОМ, .ЕХЕ и .DLL,.
Полные CRC Ч рассчитывать контрольные суммы но всему содержимому файлов.
Этот способ обеспечивает полный контроль за неизменностыо файла, однако тре-
бует много времени при проверке диска. По умолчанию данный способ проверки
используется только для файлов с расширениями .SYS и .ВАТ, так как таких
файлов обычно на диске немного, а они весьма важны.
Следует заметить, что некоторые файлы программа ADinf не проверяет. К таким фай-
лам относятся: PAGLFILE.SYS. FILES.BBS, S-DRV.BIN, EA DATA.SF, WP ROOT.SF,
^ TREEINFO.NCD, SWAPPER.DAT, NCTMP.TMP, 386SPART.PAR, IMAGE.DAT, IM-
AGE.IDX, IMAGE.ВАК, WIN386.SWP, STACVOL.DSK, DRVSPACE.O* и STACVOL.O*.
К сожалению, список этих файлов как-либо изменить нельзя.
С помощью команды меню Параметры \ Настройки \ Что контролировать \ Не-
изменяемые Вы можете определить список файлов, любое изменение которых будет
расцениваться программой ADinf как подозрительное. Для редактирования списка надо
выбрать строку списка, нажать на клавишу СЕпТ^~), отредактировать эту строку и сно-
ва нажать CEiiteF). Для удаления имени файла из списка надо заполнить имя этого
файла в списке пробелами.
Замечания. -\ Для файлов из списка неизменяемых всегдарассчитывается контрольная
сумма по всему файлу (то есть полная контрольная сумма). Поэтому не следует слишком
увлекаться расширением этого списка, так как оно может замедлить проверку дисков.
2. По умолчанию программа ADinf считает неизменяемыми файлы 1ВМВ10.СОМ,
IBMDOS.COM, 10.SYS, NC.EXE. NCMAIN.EXE, WIN.СОМ, KRNL386.EXE, USER.EXE и
GDI.ЕХЕ. Заметьте, что файл MSDOS.SYS здесь не указан Ч в Windows 95 он является
текстовым файлом, содержащим параметры MS DOS, а потому может изменяться.
Чтобы увеличить безопасность компьютера, целесообразно проверять новые и изме-
ненные файлы на наличие в них стелс-вирусов (то есть "невидимых" вирусов). Для
этого в программе должны быть включены режимы Параметры \ Настройки \ Что
контролировать \ Контр, новых \ Проводить стелс-контроль и Параметры \
Настройки 1 Что контролировать \ Контр, изм. \ Проводить стелс-контроль.
С помощью команд меню из группы Параметры \ Настройки \ Что контролиро-
вать Вы можете установить следующие режимы проверок:
ВООТ-секторы Ч контроль за загрузочными секторами различных дисков. Рекомен-
дуется включить этот контроль для всех дисков, кроме сжатых дисков и иных
псевдодисков, созданных драйверами (на некоторых таких дисках драйверы изме-
няют содержимое загрузочного сектора);
Кластеры Ч контроль за появлением новых сбойных кластеров для различных дис-
ков. Рекомендуется включить данный контроль для всех дисков,
Подкаталоги Ч контроль за изменением появлением новых и удалением имеющихся
каталогов. Многие пользователи выключают этот контроль.
Поскольку программа ADinf может читать диски, обращаясь непосредственно в BIOS,
у нее может возникнуть конфликт с программами кэширования, оптимизирующими
запись на диски: ADinf и кэш могут одновременно пытаться обратиться в BIOS, что
недопустимо и приводит к зависанию компьютера.
Поэтому при использовании программ кэширования, оптимизирующих запись на дис-
ки, желательно выключать кэширование записи перед запуском ADinf, а после оконча-
ния работы ADinf Ч включать снова. Другой (худший) вариант Ч назначить для дис-
ков метод доступа через Int 13h (см. выше).
^ Часть 7. DOS для опытного пользователя
Пример
Копфпикг с
русификаторами
При наличии логических дисков С: и D: для их проверки может использоваться следующий
фрагмент файла AUTOEXEC.BAT:
SmartDr-v С D
Adinf С: D: -А -В -D -L
SmartDrv C+ D+
Начиная с версии 9.00, программа ADinf загружает шрифт в знакогенератор адаптеров
EGA/VGA, что может вызвать конфликт с некоторыми резидентными программами,
например русификаторами. В таких случаях при запуске ADinf следует задать пара-
метр -OS. При этом стиль оформления ADinf несколько изменится, например, курсор
мыши станет изображаться не в виде стрелки, а в виде прямоугольника. Но без этой
стрелки вполне можно обойтись.
36.8. ADinf Cure Module Ч лечащий блок к ADinf
НДЗННЧРНИР Вместе с программой ADinf полезно применять и лечащий блок к ADinf Ч программу
11401 паммы ADinf Cure Module (ADinfExt). Программа ADinf Cure Module была создана в 1993 г.,
авторы Ч В.С.Ладыгин, Д.Г.Зуев и Д.Ю.Мостовой.
Программа ADinf Cure Module позволяет успешно восстанавливать исполнимые файлы,
зараженные примерно 95% типов вирусов. При этом ADinf Cure Module, в отличие от
Aidstest и Dr.Web, не ограничена в своей деятельности только знакомыми ей вирусами.
Наоборот, программа ADinf Cure Module о конкретных вирусах ничего не знает, но
зато она знает основные механизмы, с помощью которых вирусы заражают программы.'
Так что данная программа восстанавливает файлы только на основе знания этих меха-
низмов и предварительно собранных сведений о данных файлах. Таким образом, ADinf
Cure Module дополняет Aidstest и Dr.Web, обеспечивая лечение файлов и от незнако-
мых этим программам вирусов.
Ме1од применения
После установки ADinf Cure Module сбор сведений о файлах, необходимых этой про-
грамме для лечения, осуществляется автоматически при проверке дисков ревизором
ADinf. А при обнаружении ревизором ADinf изменений в файлах пользователю предос-
тавляется возможность лечить эти файлы. Если пользователь выберет ответ Лечить,
то после окончания проверки дисков ADinf попросит вставить в дисковод А: лечащую
дискету ADinf Cure Module и перезагрузит компьютер (при работе под Windows или
Windows 95 Ч попросит сделать это пользователя).
Установка программы Для установки ADinf Cure Module следует запустить программу INSTALL.ЕХЕ из ка-
талога с файлами ADinf Cure Module дистрибутивной дискеты. Программа установки
найдет каталог с программой ADinf, выполнит поиск стелс-вирусов и попросит задать
новое имя программе ADinf Cure Module (ADINFEXT.ЕХЕ). После этого программа
установки спросит, по каким таблицам надо поддерживать лечение Ч общим или лич-
ным. Как правило, надо ответить, что по личным. Затем следует указать, для каких
дисков надо поддерживать лечение. Обычно имеет смысл включить лечение для всех
дисков, и разве лишь если на каком-либо диске не хранится программ или все испол-
нимые файлы могут быть восстановлены с дистрибутивных дискет, то для этого диска
лечение можно не поддерживать.
Потом программа выведет запрос о том, какой тип таблиц с данными о файлах будет
составлять ADinf Cure Module: полные или сокращенные. Сокращенные таблицы зани-
мают в несколько раз меньше места, но обеспечивают восстановление для 94% виру-
сов, а полные таблицы Ч для 97% (так считают авторы программы). Кроме того, Вы
можете указать, для каких файлов будет поддерживаться лечение Ч для всех испол-
нимых файлов или только для файлов с некоторыми заданными расширениями. Как
правило, следует выбрать вариант лечения "Всех файлов со структурой ЕХЕ" Ч при
этом программа будет лечить файлы с расширениями .ЕХЕ, .СОМ, .SYS. .ВАТ, .ХТР и
все другие файлы, если они имеют формат .ЕХЕ-файла.
Следующая операция по установке Ч подготовка лечебной дискеты. Следует вставить
в дисковод А: чистую отформатированную дискету, и программа подготовит лечебную
дискету, после чего установка программы будет окончена.
Лечебная дискета
Лечение файлов с помощью программы ADinf Cure Module осуществляется только при
загрузке с лечебной дискеты. После того, как программа установки создала лечебную
дискету, с ней надо выполнить следующие действия.
^ Глава 36. Защита от вирусов при работе в DOS
Лечение файлов
Выбор
восстанавливаемых
файлов
Режим сохранения
зараженных файлов
Сохранение не
восстановленных
файлов
Рекомендации по
применению ADinf
Cure Module
2.
1. Если Вы используете какие-либо нестандартные драйверы, необходимые для досту-
па к дискам или для загрузки компьютера, скопируйте на лечебную дискету нуж-
ные файлы и откорректируйте файл CONFIG.SYS. Если данные драйверы являются
программами и обычно запускаются из файла AUTOEXEC.BAT, то на лечебной
дискете их надо вызывать из файла CONFIG.SYS командой Install (см. главу 40).
Установить на дискету защиту от записи (если этого не будет сделано, то ADinf
Cure Module откажется лечить файлы).
Одна лечебная дискета может использоваться для нескольких компьютеров.
Замечание. Если переписать с каталог AIDSTEST на лечебной дискете программу Aidstest
(файл AIDSTEST. EXfc), тогда ADinf Cure Module при безуспешном лечении каких-либо
файлов вызовет программу Aidstest для лечения всех жестких дисков (командой AIDSTEST *
/S /G /F ). Я, однако, не рекомендую этого делать.
Если при проверке дисков ревизором ADinf в ответ на запрос о дальнейших действиях
после просмотра сообщения об изменениях в файлах (см. п. 36.4) Вы выберете ответ
Лечить, то после окончания проверки дисков ADinf попросит вставить в дисковод А:
лечебную дискету ADinf Cure Module и перезагрузит компьютер (при работе под
Windows или Windows 95 Ч попросит сделать это пользователя). Лечебная дискета
должна быть защищена от записи.
После загрузки компьютера с лечебной дискеты автоматически вызывается ADinf Cure
Module и спрашивает, какие таблицы следует обрабатывать: общие или личные. Как
правило, следует ответить, что общие. После этого ADinf Cure Module выведет список
измененных файлов, подготовленный ADinf, и попросит отметить в этом списке файлы,
которые надо вылечить. Для_выделения используйте клавиши (Т) и Q для перемеще-
ния по списку файлов и ГПробел^ для выделения файлов. Выбрать все файлы из списка
можно клавишей Q в правой части клавиатуры (а отменить выбор всех файлов Ч
соответственно клавишей Q). Выбранные для лечения файлы отмечаются галочкой Х{
слева. По окончании выбора файлов нажмите клавишу ("Enterj
ADinf Cure Module спросит, сохранять ли зараженные файлы после удачного восста-
новления. Вы можете сохранить для дальнейшего анализа первый из таких файлов, все
такие файлы или не сохранять файлы. При сохранении зараженных файлов последние
две буквы их расширения заменяются на VR. Если у Вас нет свободного времени и
исследовательских наклонностей, рекомендую не сохранять зараженные файлы.
Если ADinf Cure Module не сможет восстановить некоторые из измененных файлов, то
спросит, надо ли удалять невосстановленные файлы. Вы можете удалить все такие
файлы, кроме первого (сохранив для дальнейшего анализа первый невосстановленный
файл), переименовать эти файлы или удалить их. П
буквы расширения имени файлов заменяются на VR. Обычно наиболее удобно пере-
именование файлов Ч тогда командой DIR X:\",?VR /S (где Х Ч буква диска) Вы
сможете получить список файлов, которые надо восстановить с дистрибутивов или из
иных источников.
Замечание. Если ADinf Cure Module вылечил файл, то Вы можете быть твердо уверены в
том, что файл в точности соответствует своему исходному состоянию. Контроль правильно-
сти восстановления осуществляется по трем независимо рассчитанным по всему файлу 32-
битным контрольным суммам.
Хотя при выборе ответа Лечить в ответ на запрос ревизора ADinf сообщение на экра-
не требует сразу вставить лечебную дискету и начать лечение файлов с помощью AD-
inf Cure Module, на самом деле это делать вовсе не обязательно. Можно перезагру-
зиться с обычной системной дискеты и проверить диски с помощью антивирусных про-
грамм-детекторов. Дело в том, что для некоторых вирусов правильное лечение не
оканчивается восстановлением самих измененных файлов (пример Ч вирусы, шиф-
рующие содержимое жесткого диска). Поэтому я бы порекомендовал сначала прове-
рить диски с помощью антивирусных программ-детекторов (Aidstest, Dr.Web и др.), а
если они не помогут, то загрузиться с лечебной дискеты и восстановить зараженные
файлы с помощью ADinf Cure Module.
IX. При переименовании последние две
на VR. Обычно наиболее удобно пере-
36.9. Совместное использование антивирусных программ
В этом параграфе мы расскажем о совместном использовании антивирусных программ
ADinf, Aidstest и Dr.Web.
^ Часть 7. DOS для опытного пользователя
Механизмы
взаимодействия
Параметр /@
Коды возврата
Ежедневная проверка
дисков
Для интересующихся опишем механизмы, с помощью которых осуществляется взаимо-
действие программ ADinf, Aidstest и Dr.Web. Те читатели, которым эти подробности не
интересны, могут данный пункт пропустить.
Для взаимодействия программ ADinf, Aidstest и Dr.Web в этих программах предусмот-
рен параметр /@. Программа ADinf при указании параметра /вимя-файла-списка по-
мещает в указанный файл список измененных, новых и перемещенных файлов на про-
веренных дисках. Программы Aidstest и Dr.Web при указании параметра /вимя-файла-
списка проверяют файлы из данного списка, после чего удаляют файл списка. А при
указании параметра /в+имя-файла-списка программы Aidstest и Dr.Web проверяют
файлы из данного списка, но потом не удаляют этот файл.
Еще один механизм взаимодействия этих программ, используемый в командных фай-
лах Ч коды возврата, которые могут быть проверены с помощью переменной ERROR-
LEVEL команды IF (см. главу 32).
Программа ADinf формирует следующие коды возврата: 0 Ч нормальное завершение,
все диски проверены, никаких изменений нет; 10 Ч обнаружены изменения, но они не
подозрительные: 20 Ч обнаружены подозрительные изменения; 25 Ч проверка хотя
бы одного диска прервана нажатием клавиши (Esc); 30 Ч работа ADinf прервана нажа-
тием клавиши (ПО); 40 Ч было обнаружено противодействие ADinf со стороны виру-
са: 50 Ч завершение в результате внутренней ошибки. Если произошло несколько из
указанных событий, сообщается больший из кодов возврата.
Программа Aidstest устанавливает следующие коды возврата: 0 Ч вирусы не обнару-
жены; 1 Ч обнаружены вирусы; 2 Ч ненормальное завершение программы; 3 Ч
ошибка в программе Aidstest.
Программа Dr.Web устанавливает следующие коды возврата: 0 Ч вирусы не обнар-
жены; 1 Ч обнаружены известные вирусы; 2Ч обнаружены неизвестные вирусы или
подозрительные файлы.
На основе изложенных сведений легко понять, как при ежедневной проверке дисков с
помощью программы ADinf сразу же проверять новые и измененные файлы на наличие
в них вирусов. Для этого можно использовать следующий командный файл:
@echo off
^ ADINF * /@C:\ADDTEST.LST /A20 /В /D /L
if error-level 50 goto end
if errorlevel 40 goto vir_in_lt)ein
If errorlevel 30 goto end
If not exist C:\ADDTEST.LST goto end
DRWEB /@+C:\ADDTEST.LST /CL /RV /HI /AR /HA1 /UPN /NS
if errorlevel 2 goto new_vir
if errorlevel 1 goto vir
^ AIDSTEST /@)C:\ADDTEST.LST /Q /KB
if errorlevel 3 goto end
if errorlevel 2 goto end
if errorlevel 1 goto vir
: no_vir
echo Вирусы не обнаружены.
goto end
: vir_in_mem
pause ВНИМАНИЕ! Обнаружен активный вирус, противодействующий ADinf.
goto end
: vir
Обнаружен известный вирус.
pause ВНИМАНИЕ!
goto end
: new_vir
pause ВНИМАНИЕ! Возможно наличие неизвестного вируса.
goto end
: end
Вызов этого командного файла можно вставить в файл AUTOEXEC.BAT. Например,
если этот файл назван VIRDAILY.BAT, то в файл AUTOEXEC.BAT надо вставить стро-
ку: CALL VIRDAILY. ВАТ . Разумеется, файл VIRDAILY.BAT следует поместить в один из
каталогов, указанных в команде Path.