|
|
Фигурнов В.Э. IBM PC для пользователя. Книга содержит подробное и доступное для начинающих описание возмож
Глава 36. Защита от вирусов при работе в DOS
Примеры
2. Чтобы программа Dr.Web выводила имена программ-упаковщиков,
файлы, задайте программе Dr.Web параметр /UP, а не /UPN.
3. Как говорилось выше, программа Dr.Web может запомнить заданные при ее запуске па-
раметры в своем .INI-файле. дтот файл имеет то же имя, что и программа Dr.Web, но рас-
ширение .INI. Для запоминания при запуске программы надо задать наряду с желаемыми
параметрами также и параметр /SV. После этого данные параметры будут использоваться по
умолчанию. Параметр /CL, задающий работу в пакетном режиме, запомнить нельзя.
4. Программа Dr.Web может не только лечить зараженные файлы, но и удалять их или пе-
реименовывать. Для этого вместо параметра /CU задайте параметр /CUD (удаление заражен-
ных файлов) или /CUR (переименование зараженных файлов). При переименовании первый
символ в расширении зараженных файлов заменяется на символ "V" (например, заражен-
ный файл hORMAT. СОМ переименовывается в FORMAT.VOM).
Приведем примеры вызова программ Aidstest и Dr.Web. При описании формата вызова про
граммы Dr.Web мы будем заменять многоточием набор стандартных параметров /CL /RV /Н
ipoaepi
SYS-ф
граммы Dr.Web мы будем заменять многоточием набор стандартных параметров /CL /RV /HI
/AR /НА1 .
aidstest
drweb *
aidstest A /G
drweb * /AL
drweb A: aidstest k': . /OF /B
aidstest drweb C: C: /G /P . /AL /PRprn
aidstest drweb * , /F /S /G
. . . /CU /DL /AL
aidstest A:\EXAHPLE.EXE /F
drweb A:\EXAMPLE.EXE ... /CU /DL заражен вирусом
юверка стандартного набора файлов (.СОМ, .ЕХЕ
YS-файлы, для Aidstest, a Dr.Web Ч также файлы с
расширениями, .ВАТ, .DRV, .BIN, .DLL, .BOO, .0V?,
.DOC и .DOT) на жестких дисках компьютера:
проверка всех файлов на жестких дисках (то есть на
всех логических дисках, расположенных на жестких
дисках компьютера),
проверка стандартного набора файлов (см. выше) на
дискете в дисководе А:. По окончании проверки запрос о
проверке еще одной дискеты не выдается,
проверка всех файлов на диске С: с выдачей протокола
проверки на принтер;
проверка и лечение всех файлов на жестких дисках ком-
пьютера;
проверка файла A:\EXAHPLE.EXE и лечение его, если он
36.2. Проверка на наличие вирусов
Ответы на запросы
программ
Если все в порядке
В этом параграфе мы расскажем о том, как происходит процесс проверки на наличие
вирусов при использовании программ Aidstest и Dr.Web.
В некоторых ситуациях программы Aidstest и Dr.Web выводят запросы, требующие
того или иного ответа от пользователя. В ответ на запросы программы Aidstest надо
обычно нажать клавишу Q, чтобы ответить "да", или клавишу О), чтобы ответить
"нет". А запросы программы Dr.Web представляют собой прямоугольник на экране с
несколькими вариантами ответа. Вы можете либо выделить на экране клавишами Q и
Q надпись с нужным вариантом ответа и нажать [Enter), либо щелкнуть эту надпись
мышью.
После запуска программы Aidstest и Dr.Web сначала выводят заставку, содержащую
сведения о версии программы, телефонах фирмы "Диалог-Наука" и т.д. Затем про-
граммы проверяют оперативную память компьютера на наличие резидентных вирусов,
после чего выполняют проверку каждого объекта, указанного в командной строке про-
граммы. Если все в порядке, для каждого объекта проверки программа выводит табли-
цу с итогами проверки. Например, программа Aidstest выводит такую таблицу:
Проверка
(метка тома: FUJITSU_1)
Проверено файлов:
Заражено файлов:
- начальных секторов:
Следов вирусов DIR:
А программа Dr.Web Ч такую:
572
о
о
о
Отчет для диска D:
Проверено : файлов
Обнаружено: вирусов
Время сканирования:
загрузочных секторов - 146
инфицированных программ - О
00:00:50
Глава 36. Защита от вирусов при работе в DOS
Примеры
сжавших исполнимые
2. Чтобы программа Dr.Web выводила имена программ-упаковщиков,
файлы, задайте программе Dr.Web параметр /UP, а не /UPN.
3. Как говорилось выше, программа Dr.Web может запомнить заданные при ее запуске па-
раметры в своем .INI-файле. JTOT файл имеет то же имя, что и программа Dr.Web, но рас-
ширение .INI. Для запоминания при запуске программы надо задать наряду с желаемыми
параметрами также и параметр /SV. После этого данные параметры будут использоваться по
умолчанию. Параметр /CL, задающий работу в пакетном режиме, запомнить нельзя.
4. Программа Dr.Web может не только лечить зараженные файлы, но и удалять их или пе-
реименовывать. Для этого вместо параметра /CU задайте параметр /CUD (удаление заражен-
ных файлов) или /CUR (переименование зараженных файлов). При переименовании первый
символ в расширении зараженных файлов заменяется на символ "V" (например, заражен-
ный файл FORMAT.СОМ переименовывается в FORMAT.VOM).
Приведем примеры вызова программ Aidstest и Dr.Web. При описании формата вызова про-
граммы Dr.Web мы будем заменять многоточием набор стандартных параметров /CL /RV /HI
/AR /НА1 .
aidstest
drweb *
aidstest "
drweb * ..
drweb A: .
aidstest A:
/G
. /AL
/OF
/B
C:
aidstest
drweb C:
/G /P
/AL /PRprn
aidstest * /F /S /G
drweb < ... /CU /DL /AL
проверка стандартного набора файлов (.СОМ, .ЕХЕ и
.^YS-файлы, для Aidstest, a Dr.Web Ч также файлы с
расширениями, .ВАТ, .DRV, .BIN, .DLL. .BOO, .0V?,
.DOC и .DOT) на жестких дисках компьютера;
проверка всех файлов на жестких дисках (то есть на
всех логических дисках, расположенных на жестких
дисках компьютера);
проверка стандартного набора файлов (см. выше) на
дискете в дисководе А:. По окончании проверки запрос о
проверке еще одной дискеты не выдается;
проверка всех файлов на диске С: с выдачей протокола
проверки на принтер;
проверка и лечение всех файлов на жестких дисках ком-
пьютера;
aidstest A:\EXAMPLE.EXE /F проверка файла A:\EXAHPLE.EXE и лечение его, если он
drweb A:\EXAMPLE.EXE ... /CU /DL заражен вирусом.
36.2. Проверка на наличие вирусов
Ответы на запросы
программ
Если все в порядке
В этом параграфе мы расскажем о том, как происходит процесс проверки на наличие
вирусов при использовании программ Aidstest и Dr.Web.
В некоторых ситуациях программы Aidstest и Dr.Web выводят запросы, требующие
того или иного ответа от пользователя. В ответ на запросы программы Aidstest надо
обычно нажать клавишу Q, чтобы ответить "да", или клавишу CM), чтобы ответить
"нет". А запросы программы Dr.Web представляют собой прямоугольник на экране с
несколькими вариантами ответа. Вы можете либо выделить на экране клавишами Q и
Q надпись с нужным вариантом ответа и нажать [Enter), либо щелкнуть эту надпись
мышью.
После запуска программы Aidstest и Dr.Web сначала выводят заставку, содержащую
сведения о версии программы, телефонах фирмы "Диалог-Наука" и т.д. Затем про-
граммы проверяют оперативную память компьютера на наличие резидентных вирусов,
после чего выполняют проверку каждого объекта, указанного в командной строке про-
граммы. Если все в порядке, для каждого объекта проверки программа выводит табли-
цу с итогами проверки. Например, программа Aidstest выводит такую таблицу:
Проверка "С:" (метка тома: FUJITSU_1)
Проверено файлов:
Заражено файлов:
- начальных секторов:
Следов вирусов DIR:
А программа Dr.Web Ч такую:
572
о
о
о
Отчет для диска D:
Проверено : файлов
Обнаружено: вирусов
Время сканирования:
загрузочных секторов - 146
инфицированных программ - О
00:00:50
Часть 7. DOS для опытного пользователя
Проверка дискет
После этого программы завершают работу.
Замечание. Программа Aidstest перед окончанием работы выводит на несколько секунд
рекламную заставку. Вывод этой рекламной заставки можно отменить, задав параметр
/knn, где пп Ч это две цифры, значение пп меняется в зависимости от версии программы и
приводится в файле AIDSLIзT.TXT.
Если программа обрабатывала только файлы на дискете, то после проверки она спро-
сит (если Вы не задали параметр /В для Aidstest или /OF для Dr.Web), надо ли обрабо-
тать еще одну дискету:
Aidstest:
Dr.Web:
Обработать еще один диск ? (Y/N):
Проверить еще один флоппи-диск?
Замечание. Если проверяемая дискета или съемный диск в дисководе отсутствует, про-
грамма издает звуковой сигнал и пропускает проверку данной дискеты или съемного диска.
Поэтому при проверке дискет или съемных дисков надо их вставлять в дисковод до запуска
программы Aidstest.
Сппйшрния п нипугях ^Р" обнаружении вирусов программы выводят соответствующие сообщения. Мы рас-
Х РУ^" скажем о них ниже.
Знакомый
вирус в памяти
\i/
^
Незнакомый вирус
в памяти
При обнаружении программами Aidstest и Dr.Web известного им резидентного вируса
в оперативной памяти компьютера на экран выводится сообщение, содержащее имя
вируса, например:
Aidstest: В памяти вирус (Sampo-MBR) - обезврежен !
Dr.Web: В памяти компьютера (9ЕОО: 0002) обнаружен ВИРУС Sampo - обезврежен!
Обе программы умеют обнаруживать в оперативной памяти компьютера и обезврежи-
вать все известные им типы резидентных вирусов. В этом случае проверка продолжа-
ется, но по ее окончании выдается предложение перезагрузить компьютер:
Aidstest: В процессе работы пришлось не совсем корректно модифицировать
память машины. Сейчас будет произведена перезагрузка системы.
Если Вы считаете это излишним, например, для продолжения
чистки дисков, нажмите "N".
Dr.Web: Возможно нахождение активного резидентного вируса
в памяти компьютера!
Произвести перезагрузку компьютера?
Чтобы перезагрузить компьютер, надо в ответ на запрос программы Aidstest нажать
любую алфавитно-цифровую клавишу, кроме (N), в ответ на запрос программы Dr.Web
Ч выбрать ответ Да. Обычно при этом необходимо загрузиться с "чистой" дискеты и
начать лечение компьютера.
Если Вы не хотите перезагружать компьютер, надо в ответ на запрос программы
Aidstest нажать клавишу (JQ, а в ответ на запрос программы Dr.Web Ч выбрать вари-
ант ответа Нет. Запрещать перезагрузку рекомендуется только подготовленным поль-
зователям, хорошо понимающим, зачем они это делают.
Замечание ^рн обезвреживании вирусов в памяти некоторые функции операционной
системы могут быть восстановлены не полностью. Кроме того, эффекты вирусов, не связан-
ные с размножением (например, аудио и видеоэффекты), не устраняются. Поэтому реко-
мендуется выполнять лечение компьютера только при загрузке с "чистой" дискеты.
Программа Dr.Web умеет обнаруживать в оперативной памяти и неизвестные ей виру-
сы. Если путем эвристического анализа содержимого оперативной памяти программа
заподозрит наличие вируса, она выведет сообщение
В памяти компьютера (ssss'.nnnn) возможно нахождение РЕЗИДЕНТНОГО ВИРУСА!
Здесь ssss'.nnnn Ч подозрительный адрес в памяти. Следует с помощью программы
MEM (см. главу 39) выяснить, какой программе принадлежит этот адрес и проверить,
не заражена ли программа вирусом.
Кроме того, программа Dr.Web проверяет, не изменился ли размер проверяемого файла
при его открытии для проверки. Некоторые резидентные вирусы заражают файлы в
момент закрытия, а некоторые другие Ч наоборот, излечивают, чтобы не оказаться
обнаруженными. При выявлении изменения размера файла (обычно это указывает на
наличие вируса) программа Dr.Web выводит сообщение:
При открытии файла его размер изменился на nnnnnn байт!
В памяти компьютера может находиться АКТИВНЫЙ РЕЗИДЕНТНЫЙ ВИРУС!
Продолжить работу?
Глава 36. Защита от вирусов при работе в DOS
Би^ус в фэиппх и
СИС 1 f'Mi-lhlX i)(4!iiC 1 ЯХ
./.^и(:^:o."
Следует выбрать один из вариантов ответа Ч Да или Нет.
При обнаружении вирусов в проверяемых файлах и системных областях дисков на
программы Aidstest и Dr.Web выводят сообщение, содержащее имя вируса и заражен-
ный им объект, например:
Вирус в начальном секторе
С: \EXE\MSDOS\DISKCOMP. СОМ
C:\EXE\MSDOS\FORMAT.COM -
"Sampo"
- болен (V-475)
болен (V-475)
Master Boot Record HDD1 инфицирован Sampo
с: \EXE\MSDOS\DISKCOMP. сом инфицирован Loz.2968
C:\EXE\MSDOS\FORMAT.COM ИНфИЦИрОВЗН L02.2968
Aidstest:
Dr.Web:
При этом статистика для зараженных дисков будет уже не столь радужной, например:
Aidstest:
Dr.Web:
572
109
Проверено файлов:
Заражено файлов:
- начальных секторов:
Следов вирусов DIR:
Проверено : файлов и загрузочных секторов - 345
Обнаружено: вирусов и инфицированных программ - 32
подозрительных на вирус файлов - 2
Время сканирования: 00:02:13
Предупреждения
программы D'.Wr'b
Подозрение на
неизвестный вирус
Заражение
модификацией вируса
Подозрительное
время создания файла
Заражение про<рамм
Aidstest и Dr. Web
При этом программа Aidstest сообщит, что для лечения зараженных файлов надо ис-
пользовать параметр /F, а программа Dr.Web выводит отчет красным цветом.
Программа Dr.Web может сообщать о своих подозрениях по поводу некоторых объек-
тов. Обычно следует записать такие сообщения (или вывести файл протокола про-
граммы) и решить, что делать с этими объектами.
Если программа Dr.Web обнаружит подозрительные файлы или загрузочные сектора,
то она выводит сообщения следующего вида:
имя-объекта возможно инфицирован тип. Virus
Здесь тип указывает тип вируса, наличие которого который подозревает программа
Dr.Web. Для этого программа перечисляет через точку характеристики вируса:
СОМ Ч вирус, заражающий .СОМ-файлы;
ЕХЕ Ч вирус, заражающий .ЕХЕ-файлы;
TSR Ч резидентный вирус;
MACRO Ч вирус, заражающий документы Word for Windows;
BOOT Ч вирус, заражающий загрузочные сектора дисков;
CRYPT Ч зашифрованный или полиморфный вирус.
Например, сообщение C:\EXE\TEST.EXE возможно инфицирован СОМ.ЕХЕ.CRYPT.Virus оз-
начает, что данный файл, возможно, заражен зашифрованным или полиморфным виру-
сом, заражающим .СОМ и .ЕХЕ-файлы.
з."'мрчанис Часто программа Dr.Web подозревает на наличие вируса файлы резидентных
программ, осуществляющих запись в другие файлы.
Если программа Dr.Web сочтет, что программа может быть заражена на вирусом, ей
неизвестным, но напоминающим один из ей известных, она выводит сообщение вида:
имя-объекта возможно инфицирован модификацией имя-вируса
Программа Dr.Web в режиме с максимальным уровнем эвристического анализа
(параметр /НА1) проверяет файлы на подозрительное время их создания или последней
модификации. Например, некоторые вирусы при заражении файлов увеличивают дату
создания или модификации файла на 100 лет или устанавливают в поле секунд време-
ни несуществующее значение Ч 62 секунды. При обнаружении таких файлов Dr.Web
выводит предупреждение:
имя-файла странное время создания . . .
Если исполнимый файл программы Aidstest или Dr.Web (обычно Ч AIDSTEST.EXE
или DRWEB.EXE) изменен, и это изменение похоже на действие вируса, то программа
издает звуковой сигнал и выводит сообщение. Например, Aidstest сообщает:
ВНИМАНИЕ!
Возможно,
Ваш экземпляр aidstest. ехе искажен!
он заражен каким-то новым вирусом! Убедительная просьба немедленно
Часть 7. DOS для опытного пользователя
скопировать его на дискету и передать для анализа автору через официальных
распространителей. Для получения их координат запустите - AIDSTEST /d
A Dr.Web:
Dr. Web разрушен или инфицирован НЕИЗВЕСТНЫМ ВИРУСОМ!
В памяти компьютера может находиться АКТИВНЫЙ РЕЗИДЕНТНЫЙ ВИРУС'
Продолжить работу?
После этого программа Aidstest прекращает работу, a Dr.Web Ч предоставляет воз-
можность либо завершить работу, либо продолжить ее. Обычно в такой ситуации надо
перезагрузиться с дискеты (см. главу II) и запустить антивирусные программы с дис-
кеты.
Если программа Aidstest считает, что искажение файла AIDSTEST.ЕХЕ похоже не на
вирус, а на действия хакеров, пытавшихся как-то изменить этот файл, она издает зву-
ковой сигнал (сирену) и выводит сообщение:
Уважайте авторские права, даже если их не защищает закон!*
После этого программа Aidstest прекращает работу. Программа Dr.Web жалостливых
призывов уважать авторские права не выводит.
LU 36.3. Лечение файлов и системных областей дисков
Включение режима
лечения
Сообщения
о ходе лечения
Итоги лечения
В этом параграфе мы расскажем о том, как происходит процесс лечения от вирусов с
помощью программ Aidstest и Dr.Web. При первом чтении данный параграф можно
пропустить.
Для включения режима лечения при запуске программы Aidstest необходимо задать
режим /F, а при запуске программы Ч параметр /CU. При лечении рекомендуется про-
изводить поиск вирусов во всех файлах (параметр /G программы Aidstest, параметр /AL
программы Dr.Web).
Замечание. Следует иметь в виду, что программы Aidstest и Dr.Web могут лечить только
от знакомых им вирусов. Программа Dr.Web может лишь подозревать наличие незнакомых
вирусов, но лечить файлы, зараженные неизвестными ей вирусами, она не умеет. В этом
случае пользователь может либо удалить файл, который он сочтет зараженным, либо вос-
пользоваться программой ADinfExt Ч лечащим блоком для ревизора ADinf. ADinfExt на
основе сведений о файлах, собранных ревизором ADinf, и знания основных механизмов,
которые используют вирусы при заражении файлов, может излечивать файлы от более чем
95% вирусов.
В режиме лечения для каждого зараженного объекта на экран выводится сообщение,
содержащее имя объекта, имя вируса и предпринятое действие. Например, программа
Aidstest выводит сообщения вида:
Вирус в начальном секторе "Sampo" - ОБЕЗВРЕЖЕН
C:\EXE\MSDOS\DISKCOMP.COM - болен (V-475)/475 - ОБЕЗВРЕЖЕН
C:\EXE\MSDOS\FORMAT.COM - болен (V-475)/475 - ОБЕЗВРЕЖЕН
Здесь для файловых вирусов сообщается как номинальная длина вируса (в скобках),
так и вызванное вирусом увеличение длины файла (оно может быть равно нулю Ч
некоторые вирусы не меняют длину заражаемого файла).
А программа Dr.Web выводит сообщения вида:
Master Boot Record HDD1 инфицирован Sampo - исцелен!
C:\EXE\MSDOS\DISKCOMP.COM инфицирован Loz.2968 - исцелен!
C:\EXE\MSDOS\FORMAT.COM инфицирован Loz.2968 - удален!
3амечаци^^- Иногда после сообщения об излечении программа Aidstest добавляет: "(есть
вопросы)". Ь текущей версии программы это добавление выдается при неудачной попытке
освободить кластеры, занятые загрузочным вирусом.
2. При лечении от вирусов, шифрующих данные на диске, программа Dr.Web выводит со-
общение: "Подождите, пожалуйста!.. Производится расшифровывание диска... Данная про-
цедура может длиться довольно продолжительное время...".
По окончании лечения для каждого объекта, указанного в командной строке (диска,
каталога и т.д.) выводится таблица с итогами лечения файлов. Например, программа
Aidstest выводит следующие сведения:
|
|
|
Скачать 5.4 Mb.