|
Фигурнов В.Э. IBM PC для пользователя. Книга содержит подробное и доступное для начинающих описание возмож
Глава 36. Защита от вирусов при работе в DOS Исправлено файлов: - строк каталогов:
Стерто файлов: Здесь строка "строк каталогов" относится к вирусам типа DIR, которые модифицируют
элементы каталогов, в результате чего при вызове исполнимых файлов вызывается
вирус (см. главу II). А программа Dr.Web выводит такие сведения: Исцелено
Удалено файлов
файлов загрузочных
инфицированных секторов
программ 123
3 Некорректное
лечение загрузочных
областей диска ^^
^^ Диск для временных
файлов \i/
^ Вывод отчета В некоторых случаях при лечении от загрузочных вирусов вылечить диск не удается: в
том месте, где вирус должен их прятать незараженные версии загрузочной записи
(Boot Record) или главной загрузочной записи (Master Boot Record), этих записей не
оказывается. Причиной тому может быть произведенная кем-то модификация вируса
или заражение компьютера несколькими вирусами, которые "накладываются" друг на
друга. В этом случае программы Aidstest и Dr.Web могут вывести сообщения вида:
Возможно некорректное лечение загрузочного сектора! Продолжить лечение? Оригинальный загрузочный сектор диска вирусом не сохранен!
Записать стандартный загрузочный сектор? Записать стандартную версию программной части главного загрузочного сектора? Для дискет запись стандартного загрузочного сектора в худшем случае означает, что с
дискеты нельзя будет загружаться, что легко исправить командой SYS. А вот для же-
стких дисков доступ к информации на жестком диске может быть утрачен, особенно
если диск был размечен нестандартными средствами типа ADM, Disk Manager, SSTOR
и т.д., либо если Вы использовали программы защиты жесткого диска от несанкциони-
рованного доступа, модифицирующие загрузочные области жесткого диска. Поэтому
лучше отказаться от такого лечения и восстановить загрузочные области другими спо-
собами, как это указано в п. 1 1.6. При проверке упакованных исполнимых файлов программа Dr.Web должна их распа-
ковать во временный файл на диске. Диск, на котором создаются эти временные фай-
лы, задается параметром /TDcfacK:, а если этот параметр не задан, используется теку-
щий на момент запуска программы диск. Поэтому при запуске программы с жесткого
диска обычно этот параметр не указывается. Однако при запуске программы Dr.Web с защищенной от записи дискеты, если не ука-
зать параметр /ТОдиск:, программа будет пытаться распаковывать файлы на дискету и
выводить сообщения ^имя-файла Ч ошибка записи. Но дело в том, что назначать для
записи временных файлов жесткий диск можно далеко не всегда Ч ведь Вы подозре-
ваете заражение жесткого диска компьютера вирусом, а при этом до излечения от ви-
русов лучше ничего на жесткий диск не записывать. Можно предложить следующие
выходы из этого положения: Х создать электронный диск (см. Приложение 1) и записывать на него временные
файлы; Х назначить для создания временных файлов съемный диск, например, магнитоопти-
ческий (если он есть), или другую дискету, если у Вас два дисковода для дискет.
Однако при использовании дискет работа программы будет очень медленной; Х если программа NDD (см. главу 35) сообщает, что файловая система хотя бы одно-
го логического диска, расположенного на жестком диске, в порядке, можно записы-
вать временные файлы на этот логический диск. Однако в этом случае лучше сна-
чала проверить диск программой Aidstest и программой Dr.Web без параметра
/10диск\, игнорируя сообщения об ошибке записи, а уж затем продолжить провер-
ку с указанием данного диска в параметре /TD программы Dr.Web. При лечении жестких дисков часто весьма полезен отчет о лечении Ч с его помощью
Вы сможете узнать, какие файлы или программные комплексы надо восстановить из
дистрибутивов или резервных копий. Однако на жесткий диск файл протокола можно
выводить далеко не всегда (см. предыдущий пункт). Поэтому лучше вывести протокол
на принтер (параметр /Р программы Aidstest и параметр /RPprn программы Dr.Web).
Если принтер не русифицирован, задайте параметр /L программы Aidstest или пара-
метр /LN программы Dr.Web. Возможны и другие решения Ч вывод файла протокола
на электронный диск, на другую дискету и т.д. Часть 7. DOS для опытного пользователя 36.4. Программа-ревизор ADinf Назна чение
программы Возможности
программы Интерфейс
программы Запросы программы Информационные
сообщения Выход из программы
Установка программы Программа-ревизор ADinf была создана Д.Ю.Мостовым в 1991 г. Эта программа запо-
минает состояние системных областей дисков и файлов на дисках, а при последующих
запусках выявляет изменения на дисках и при обнаружении подозрительных измене-
ний сообщает об этом пользователю. Программа ADinf работает очень быстро, так что проверку дисков с ее помощью целе-
сообразно выполнять каждый день. Программа ADinf может обрабатывать до 32000
файлов на каждом диске. ADinf может запускаться не только в среде DOS, но и из-под
Windows 3.1, Windows 95 и OS/2 (при этом она не сможет только восстанавливать
загрузочные сектора дисков). Программа ADinf может проверять диски, не используя средства DOS, а обращаясь
прямо в BIOS компьютера, поэтому "невидимые" вирусы (см. главу II) не могут обма-
нуть ADinf. Наоборот, эти вирусы сразу выдают себя, поскольку ADinf сравнивает ин-
формацию о файлах и системных областях диска, полученную непосредственным чте-
нием диска, с информацией, полученной от DOS, и в случае расхождения сообщает о
наличии на компьютере резидентного вируса. Поэтому ADinf может обнаруживать
заражение компьютера при обычном запуске с жесткого диска, а не с "чистой" сис-
темной дискеты, как этого требуют многие другие программы-ревизоры. Программа ADinf хорошо интегрирована с другими программами комплекта DSAV
фирмы "Диалог-Наука". Так, программа ADinf создает список новых и измененных
файлов на диске, а программы Aidstest и Dr.Web могут проверять файлы из этого спи-
ска, что значительно сокращает время работы этих программ. А при обнаружении из-
менений на дисках программа ADinf может вызвать лечащий блок ADinfExt, чтобы
вылечить зараженные файлы. Программа может работать как в диалоговом режиме, так и в пакетном режиме. В диа-
логовом режиме пользователь может настраивать режимы программы с помощью ее
меню, запускать проверку дисков и поиск невидимых (стеле) вирусов, создавать таб-
лицы программы, в которых она запоминает сведения о системных областях дисков и
файлах на диске и т.д. В пакетном режиме программа сразу приступает к проверке
дисков, после чего оканчивает свою работу. Этот режим удобен при запуске програм-
мы из файла AUTOEXEC.BAT. В обоих режимах программа может выводить на экран запросы. Обычно запрос пред-
ставляет собой прямоугольник с несколькими вариантами ответа. Для выбора ответа
можно щелкнуть надпись с нужным вариантом ответа мышью или выделить ее клави-
шами перемещения курсора и нажать (Enter). Кроме того, в ходе работы программа может выдавать информационные сообщения.
После их просмотра надо нажать клавишу (TsiD, обычно об этом написано в нижней
части окна с сообщением. Можно также нажать правую кнопку мыши. При появлении сообщения об изменениях на диске Вы можете не только нажать (TscD,
но и получить дополнительные сведения об изменениях на диске: просмотреть списки
новых, перемещенных, измененных файлов, просмотреть эти файлы и т.д. Подробнее
об этом говорится ниже. В диалоговом режиме Вы можете работать с меню программы. Для выбора пункта ме-
ню надо выделить его клавишами перемещения курсора и нажать CEnteij, либо щелк-
нуть его левой клавишей мыши. Для выхода из меню нажимайте клавишу CEicT) или
правую кнопку мыши, каждое такое нажатие возвращает на один уровень меню выше. Для выхода из диалогового режима программы ADinf надо нажать ГАТТ) (Т) или выбрать
пункт меню Выход. Установка программы ADinf несложна. Запустите файл INSTALL.ЕХЕ из каталога с
файлами программы ADinf дистрибутивной дискеты (обычно это каталог ADINF). Про-
грамма спросит: "Это первая установка или замена старой версии?". При замене вер-
сии программа установки ищет на жестком диске каталог с программой ADinf и уста-
навливает туда программу, а при первой установке Ч запрашивает имя каталога, в
который надо установить программу, устанавливает ее туда, создает таблицы ADinf на
указанных Вами дисках (эти диски потом ADinf и будет проверять), а также вставляет
команду для ежедневной проверки указанных дисков в файл AUTOEXEC.BAT. Глава 36. Защита от вирусов при работе в DOS Запуск программы Проверяемые диски Диалоговый или
пакетный режим Режимы программы После установки программы ADinf желательно установить и лечащий блок к ADinf Ч
ADinfExt (он же ADinf Cure Module), если Вы приобрели также и эту программу. Замечания ^- Перед установкой программ ADinf и ADinf Cure Module (ADinfExt) следует
проверить компьютер на наличие известных вирусов с помощью антивирусных программ,
например Aidstest и Dr.Web. 2. Для использования ADinf при лечении компьютера целесообразно установить ADinf и на
дискету. Для этого скопируйте содержимое каталога с файлами программы ADinf дистрибу-
тивной дискеты на жесткий диск, запустите оттуда файл INSTALL.ЕХЕ, после чего укажите
программе установки, что это первая установка, а в качестве каталога задайте каталог на
дискете. При этом можно создать таблицы ADinf хотя бы на одном диске и задать имя таб-
лиц тем же самым, что и при установке ADinf на жесткий диск. Впрочем, таблицы ADinf
можно и не создавать, но тогда после запуска программы ADinf с дискеты надо указать имя
таблиц с помощью команды меню Параметры \ Настройки \ Файлы с таблицами. Программа ADinf запускается командой вида:
ADINF [_диск:")... {режим.ы}...
ADINF * {peжuм.ы']... Впрочем, обычно пользователи переименовывают файл программы, как это рекоменду-
ет делать программа установки, так что вместо ADINF здесь надо указать правильное
имя файла с программой. Параметр ^диск'.)... задает набор проверяемых дисков. Например, ADINF С: D: Ч про-
верка дисков С: и D:. Если вместо набора дисков задана звездочка, то программа про-
верит все диски, для которых она найдет таблицы ADinf. Если в команде задан набор проверяемых дисков или звездочка, то программа запуска-
ется в пакетном режиме, проверяет указанные диски и заканчивает работу. Если же
набор проверяемых дисков не задан, программа запускается в диалоговом режиме и
пользователь может с помощью меню настраивать режимы программы, запускать про-
верку дисков, поиск невидимых (стеле) вирусов и т.д. Режимы программы обычно указываются при ее запуске из командных файлов. Так,
программа установки ADinf вставляет в файл AUTOEXEC.BAT команду для запуска
ADinf с параметрами -А -В -D -L. Эти параметры означают следующее: -А Ч не делать при работе несущественных остановок (скажем, не выводить сообще-
ний, что на диске ничего не изменилось): -В -D -L- Ч не закрашивать фон экрана (автор программы считает, что так программа вы-
глядит "более профессионально"): Ч проверять диски один раз в сутки, это позволяет избежать излишних затрат
времени, если вызов программы ADinf стоит в файле AUTOEXEC.BAT;
- записать протокол проверки на диск.
Проверка дисков Мы расскажем о других режимах программы ниже. Программа ADinf выполняет проверку дисков при запуске программы в пакетном ре-
жиме (то есть когда в команде запуска программы задан набор проверяемых дисков), а
также при работе в диалоговом режиме при выборе в группе меню Работа пункта
Проверить все или пункта Проверить диск (в последнем случае надо предварительно
выбрать проверяемые диски в группе меню Диски). При проверке программа выводит диаграмму, сообщающую о ходе проверки (рис.
36.1). Если в процессе проверки не произошло никаких чрезвычайных происшествий
типа сбоя на диске или обнаружения активного резидентного вируса, то проверка до-
водится до конца и на экран выводится сообщение об изменениях на диске. Замечания. 1- Еще до проверки дисков (то есть сразу после запуска) программа ADinf
проверяет, не изменился ли ооъем оперативной памяти, доступной DOS, а также не изме-
нился ли в BIOS обработчик прерывания lntl3, отвечающего за низкоуровневый ввод-вывод
с дисками. Конечно, на большинстве компьютеров содержимое BIOS изменить невозможно,
но на некоторых компьютерах содержимое BIOS автоматически переносится в обычную
оперативную память (то есть создается так называемая теневая BIOS, по-видимому, это
делается для ускорения работы), а эту копию BIOS вирус может без труда изменить. 2. При проверке диска С:, а на компьютерах с двумя жесткими дисками Ч и диска D:, про-
грамма проверяет неизменность не только загрузочното сектора логического диска (Boot
record), но и главной загрузочной записи соответствующего жесткого диска (Master Boot
Record, MBR). Часть 7. DOS для опытного пользователя
Сообщения об
изменениях Рис. 36.1. Диаграмма хода проверки диска 3. Проверка плохих (точнее, помеченных как плохие) кластеров выполняется потому, что
некоторые вирусы помечают хороший кластер (участок) диска как сбойный и размещают
там свой код. 4. Поиск стелс-вирусов, то есть "невидимых" вирусов (последняя строка в списке выпол-
няемых действий на рис. 36.1) выполняется не для всех файлов на диске, а только для но-
вых, измененных или перемещенных файлов. Для поиска стелс-вирусов на всем диске сле-
дует в диалоговом режиме программы выбрать проверяемые диски в группе меню Диска и
затем пункт Поиск стеле в группе меню Работа. 5. ADinf может проверять также и таблицы параметров жестких дисков (Hard Disk Parame-
ter Tables). Однако многие современные контроллеры жестких дисков не используют эти
таблицы, так что по умолчанию проверка этих таблиц в программе отключена. Если на анализируемом диске не произошло никаких изменений в системных областях
диска и контролируемых программой ADinf файлах, программа выводит сообщение о
том, что на диске изменений не произошло: Сейчас Таблица от 17 час. 47 мин. 55 сек 17 час. 42 мин. 23 сек 3 сентября 3 сентября 1996 1996 года. года.
На диске: каталогов: 454, контролируемых файлов: 1808
Никаких изменений нет. if п Я R Mlh\/ : Подозрительные
изменения Если при запуске программы был задан параметр -А или -Авремя, .то сообщений об
отсутствии изменений на дисках не выводится: программа сразу приступает к проверке
следующего диска или завершает работу. При обнаружении подозрительных изменений на диске программа выводит окно со
списком этих изменений. Найденные изменения в списке выделены и помечены слева
галочкой. Назначение этого окна Ч чисто информационное: предупредить Вас о воз-
можности появления вирусов на компьютере. После нажатия [tsc] или правой кнопки
мыши программа выведет окно с сообщением об изменениях на диске (см. ниже). Внимание! На диске обнаружены подозрительные изменения,
характерные для проявления вирусов! Изменился главный загрузочный сектор V Изменился загрузочный сектор
У измененных файлов не изменились дата и время
У измененных файлов установлено странное время
У измененных файлов установлена странная дата
Изменились файлы, занесенные в список неизменяемых V Возможны стел с-вирусы в новых или измененных файлах Нажмите Esc... Глава 36. Защита от вирусов при работе в DOS Сообщение об
изменениях При наличии изменений на диске программа выводит окно с сообщением о них Результаты проверки диска Е Сейчас 20 час. 08 мин. 35 сек.
Таблица от 20 час. 06 мин. 55 сек. 5 сентября 1995 года.
4 сентября 1995 года. На диске: каталогов: 126, контролируемых файлов: 982.
Изменения на диске: F2 Master-boot сектор : Не проверялся
F3 Загрузочный сектор : Не проверялся
F4 Новых плохих кластеров : Нет F6
F7
F8
F9 Стертых каталогов
Измененных файлов
Новых файлов
Стертых файлов
Перемещенных файлов
Переименованных файлов 87
Нет
Нет Выбор: , ; Просмотр: ; Конец: Запрос о дальнейших
действиях Вы можете проанализировать каждое из изменений в деталях. Если щелкнуть строку
сообщения левой кнопкой мыши или выделить ее клавишами Q и Q и нажать
[Enter), или нажать клавишу, указанную в левой части соответствующей строки, то на
экран будет выведено окно с подробным описанием изменений: Х для новых, перемещенных, измененных, переименованных или удаленных файлов
Ч предъявляется список этих файлов; Х для новых или удаленных каталогов Ч дерево каталогов на диске, в котором новые
или удаленные каталоги выделены желтым цветом; Х для новых сбойных кластеров Ч список номеров этих кластеров; Х для главного загрузочного (Master Boot) или загрузочного сектора Ч таблицы дан-
ных, содержащиеся в старом и новом вариантах этих секторов. При этом для новых, измененных, перемещенных и переименованных файлов Вы мо-
жете просмотреть файл, нажав (Тз), или отредактировать его, нажав (ТТ). При про-
смотре дерева каталогов Вы можете, нажав (EnteF), увидеть список контролируемых
программой файлов в этом каталоге, и т.д. Список действий, доступных в каждом окне,
и соответствующих клавиш, приведен в нижней части окна. По окончании просмотра
любого окна его можно закрыть, нажав ftscD или правую кнопку мыши. После окончания просмотра окна с сообщением об изменениях на диске программа
выведет запрос о дальнейших действиях:
Обновить информацию о диске ?
Лечить Записать протокол Обновить
Варианты ответа имеют следующее значение: Обновить Ч внести изменения в таблицы ADinf, отражающие новое состояние диска.
Этот вариант надо выбирать, если изменения на диске вызваны известными Вам
причинами (установка нового пакета программ, нового драйвера, обновление вер-
сии пакета программ и т.д.); Не обновлять Ч не менять таблицы ADinf, то есть при следующем запуске данные
изменения будут обнаружены снова. Этот вариант надо использовать, если Вы не
знаете причины изменений на диске и хотите по завершении программы ADinf
проверить компьютер на наличие вирусов. Перед выбором этого пункта полезно
вывести протокол изменений, если такой пункт есть в запросе (см. ниже); Лечить Ч сформировать запрос на лечение файлов с помощью ADinf Cure Module
(лечащего блока к ADinf). В этом случае по окончании проверки всех указанных
дисков программа ADinf попросит поместить в дисковод А: лечебную дискету с
ADinf Cure Module и перезагрузит компьютер. Данный пункт запроса выводится,
только если на компьютере установлен ADinf Cure Module; Записать протокол Ч при выборе этого пункта на экран выводится запрос имени
файла протокола. Можно (а при подозрении на наличие вируса Ч даже полезно)
указать в качестве имени файла PRN Ч при этом протокол изменений выводится
на принтер. По окончании записи (или печати) файла протокола программа снова
выведет запрос о дальнейших действиях, показанный выше. Пункт запроса Запи- Часть 7. DOS для опытного пользователя Прерывание
прочерки дискор сать протокол не выводится, если при вызове программы был указан параметр
-L, так как в этом случае протокол изменений выводится всегда. :3;iM("i.ininr'. При указании параметра -L файл протокола создается отдельно для каждого
диска и называется ADINF-x.LOG, где ж Ч буква диска. Протокол записывается в ката-
лог, в котором находится файл настроек (.INI-файл) программы. Это либо каталог, указан-
ный в режиме -HOME, либо, при отсутствии данного режима, каталог, в котором находит-
ся исполняемый файл программы, либо, при запуске с сетевого диска Ч каталог C:\ADINF. Чтобы прекратить проверку диска, Вы можете в любой момент нажать клавишу (180)
или одновременно две кнопки мыши. Программа выведет запрос: Прервать обработку диска ? Ч
Одного Всех выбранных Если Вы выберете ответ Нет или нажмете правую кнопку мыши, программа продол-
жит проверку диска. Ответ Одного позволит прервать проверку текущего диска, а от-
вет Всех выбранных Ч прекратить проверку всех дисков. 1 Т 1 36.5. Действия при изменениях на диске
и при иных предупреждениях программы ADinf Не игнорировать
сообщения
программы Изменение объема
памя ти Дадим некоторые рекомендации по действиям при изменениях на диске и при преду-
преждениях, выдаваемых программой ADinf. Прежде всего, автор программы советует (и я к нему полностью присоединяюсь) нико-
гда не оставлять без внимания сообщения программы ADinf об изменениях на диске.
Это относится и к случаю, когда программа не считает изменения подозрительными
(см. пункт "Изменения в файлах" ниже). Поэтому при получении сообщения об изме-
ненных файлах не ленитесь Ч посмотрите, что это за изменения, знаете ли Вы, почему
они произошли. Если Вы не знаете причину произошедших изменений, проконсульти-
руйтесь с более опытными пользователями и проверьте компьютер на наличие вирусов
программами-детекторами типа Aidstest и Dr.Web. Если ADinf обнаружит изменение объема оперативной памяти, доступной DOS, то
сообщит при этом сразу же после запуска программы ADinf: Внимание! Изменился объем оперативной памяти DOS!
Было: 640К, Стало: 634К (изменение 6К).
Это очень похоже на наличие загрузочного вируса? Запомнить новое Изменение
загрузочных
областей диска Многие загрузочные вирусы размещают свое тело в конце первых 640 Кбайт оператив-
ной памяти, сообщая DOS о том, что ей доступно меньше памяти. Поэтому если Вы не
знаете причину изменения объема памяти, выберите ответ Продолжить так и внима-
тельно следите за всеми изменениями на диске, о которых сообщает ADinf. Если Вы
точно знаете причину изменения объема памяти, выберите ответ Запомнить новое,
после чего при последующих запусках ADinf будет использоваться новое значение
объема памяти. Если ADinf обнаруживает, что на логическом диске изменился загрузочный сектор
(Boot record) или начальный сектор жесткого диска (главный загрузочный сектор,
Master Boot Record), содержащий таблицу разбиения жесткого диска, то ADinf выдает
сообщение о подозрительных изменениях на диске (см. выше). После этого в окне с
сообщением об изменениях на диске Вы можете выделить строчку "Master-boot сек-
тор" или "Загрузочный сектор" нажать { Enter). При этом программа выведет окно с
объяснением ситуации:
|
|
|