Глава 36. Защита от вирусов при работе в DOS
Методы проверки
файлов
Непроверяемые
файлы
Список
неизменяемых
файлов
Контроль новых и
измененных файлов
Прочие проверки
Конфликт с кэшем
смотра и редактирования, список каталогов, содержащих эти программы, надо ввести в
команде меню Параметры \ Настройки \ Пцти для вьюеров.
Кроме того, для каждого расширения Вы можете задать, каким образом производится
проверка файлов с данным расширением. Для этого следует выбрать команду меню
Параметры \ Настройки \ Список расширений \ Тип CRC. Всего существует три
варианта проверок файлов:
Без CRC Ч не рассчитывать контрольные суммы для файлов с данным расширением
(при этом контролируется только длина файла):
Быстрые CRC Ч рассчитывать контрольные суммы для критически важных участков
файлов. Этот способ обеспечивает надежную защиту от вирусов при малых за-
тратах времени, однако он годится только для исполнимых файлов и динамиче-
ских библиотек, поэтому его имеет смысл назначать для файлов с расширениями
.СОМ, .ЕХЕ и .DLL,.
Полные CRC Ч рассчитывать контрольные суммы но всему содержимому файлов.
Этот способ обеспечивает полный контроль за неизменностыо файла, однако тре-
бует много времени при проверке диска. По умолчанию данный способ проверки
используется только для файлов с расширениями .SYS и .ВАТ, так как таких
файлов обычно на диске немного, а они весьма важны.
Следует заметить, что некоторые файлы программа ADinf не проверяет. К таким фай-
лам относятся: PAGLFILE.SYS. FILES.BBS, S-DRV.BIN, EA DATA.SF, WP ROOT.SF,
TREEINFO.NCD, SWAPPER.DAT, NCTMP.TMP, 386SPART.PAR, IMAGE.DAT, IM-
AGE.IDX, IMAGE.ВАК, WIN386.SWP, STACVOL.DSK, DRVSPACE.O* и STACVOL.O*.
К сожалению, список этих файлов как-либо изменить нельзя.
С помощью команды меню Параметры \ Настройки \ Что контролировать \ Не-
изменяемые Вы можете определить список файлов, любое изменение которых будет
расцениваться программой ADinf как подозрительное. Для редактирования списка надо
выбрать строку списка, нажать на клавишу СЕпТ^), отредактировать эту строку и сно-
ва нажать CEiiteF). Для удаления имени файла из списка надо заполнить имя этого
файла в списке пробелами.
Замечания. -\ Для файлов из списка неизменяемых всегдарассчитывается контрольная
сумма по всему файлу (то есть полная контрольная сумма). Поэтому не следует слишком
увлекаться расширением этого списка, так как оно может замедлить проверку дисков.
2. По умолчанию программа ADinf считает неизменяемыми файлы 1ВМВ10.СОМ,
IBMDOS.COM, 10.SYS, NC.EXE. NCMAIN.EXE, WIN.СОМ, KRNL386.EXE, USER.EXE и
GDI.ЕХЕ. Заметьте, что файл MSDOS.SYS здесь не указан Ч в Windows 95 он является
текстовым файлом, содержащим параметры MS DOS, а потому может изменяться.
Чтобы увеличить безопасность компьютера, целесообразно проверять новые и изме-
ненные файлы на наличие в них стелс-вирусов (то есть "невидимых" вирусов). Для
этого в программе должны быть включены режимы Параметры \ Настройки \ Что
контролировать \ Контр, новых \ Проводить стелс-контроль и Параметры \
Настройки 1 Что контролировать \ Контр, изм. \ Проводить стелс-контроль.
С помощью команд меню из группы Параметры \ Настройки \ Что контролиро-
вать Вы можете установить следующие режимы проверок:
ВООТ-секторы Ч контроль за загрузочными секторами различных дисков. Рекомен-
дуется включить этот контроль для всех дисков, кроме сжатых дисков и иных
псевдодисков, созданных драйверами (на некоторых таких дисках драйверы изме-
няют содержимое загрузочного сектора);
Кластеры Ч контроль за появлением новых сбойных кластеров для различных дис-
ков. Рекомендуется включить данный контроль для всех дисков,
Подкаталоги Ч контроль за изменением появлением новых и удалением имеющихся
каталогов. Многие пользователи выключают этот контроль.
Поскольку программа ADinf может читать диски, обращаясь непосредственно в BIOS,
у нее может возникнуть конфликт с программами кэширования, оптимизирующими
запись на диски: ADinf и кэш могут одновременно пытаться обратиться в BIOS, что
недопустимо и приводит к зависанию компьютера.
Поэтому при использовании программ кэширования, оптимизирующих запись на дис-
ки, желательно выключать кэширование записи перед запуском ADinf, а после оконча-
ния работы ADinf Ч включать снова. Другой (худший) вариант Ч назначить для дис-
ков метод доступа через Int 13h (см. выше).
Часть 7. DOS для опытного пользователя
Пример
Копфпикг с
русификаторами
При наличии логических дисков С: и D: для их проверки может использоваться следующий
фрагмент файла AUTOEXEC.BAT:
SmartDr-v С D
Adinf С: D: -А -В -D -L
SmartDrv C+ D+
Начиная с версии 9.00, программа ADinf загружает шрифт в знакогенератор адаптеров
EGA/VGA, что может вызвать конфликт с некоторыми резидентными программами,
например русификаторами. В таких случаях при запуске ADinf следует задать пара-
метр -OS. При этом стиль оформления ADinf несколько изменится, например, курсор
мыши станет изображаться не в виде стрелки, а в виде прямоугольника. Но без этой
стрелки вполне можно обойтись.
36.8. ADinf Cure Module Ч лечащий блок к ADinf
НДЗННЧРНИР Вместе с программой ADinf полезно применять и лечащий блок к ADinf Ч программу
11401 паммы ADinf Cure Module (ADinfExt). Программа ADinf Cure Module была создана в 1993 г.,
авторы Ч В.С.Ладыгин, Д.Г.Зуев и Д.Ю.Мостовой.
Программа ADinf Cure Module позволяет успешно восстанавливать исполнимые файлы,
зараженные примерно 95% типов вирусов. При этом ADinf Cure Module, в отличие от
Aidstest и Dr.Web, не ограничена в своей деятельности только знакомыми ей вирусами.
Наоборот, программа ADinf Cure Module о конкретных вирусах ничего не знает, но
зато она знает основные механизмы, с помощью которых вирусы заражают программы.'
Так что данная программа восстанавливает файлы только на основе знания этих меха-
низмов и предварительно собранных сведений о данных файлах. Таким образом, ADinf
Cure Module дополняет Aidstest и Dr.Web, обеспечивая лечение файлов и от незнако-
мых этим программам вирусов.
Ме1од применения
После установки ADinf Cure Module сбор сведений о файлах, необходимых этой про-
грамме для лечения, осуществляется автоматически при проверке дисков ревизором
ADinf. А при обнаружении ревизором ADinf изменений в файлах пользователю предос-
тавляется возможность лечить эти файлы. Если пользователь выберет ответ Лечить,
то после окончания проверки дисков ADinf попросит вставить в дисковод А: лечащую
дискету ADinf Cure Module и перезагрузит компьютер (при работе под Windows или
Windows 95 Ч попросит сделать это пользователя).
Установка программы Для установки ADinf Cure Module следует запустить программу INSTALL.ЕХЕ из ка-
талога с файлами ADinf Cure Module дистрибутивной дискеты. Программа установки
найдет каталог с программой ADinf, выполнит поиск стелс-вирусов и попросит задать
новое имя программе ADinf Cure Module (ADINFEXT.ЕХЕ). После этого программа
установки спросит, по каким таблицам надо поддерживать лечение Ч общим или лич-
ным. Как правило, надо ответить, что по личным. Затем следует указать, для каких
дисков надо поддерживать лечение. Обычно имеет смысл включить лечение для всех
дисков, и разве лишь если на каком-либо диске не хранится программ или все испол-
нимые файлы могут быть восстановлены с дистрибутивных дискет, то для этого диска
лечение можно не поддерживать.
Потом программа выведет запрос о том, какой тип таблиц с данными о файлах будет
составлять ADinf Cure Module: полные или сокращенные. Сокращенные таблицы зани-
мают в несколько раз меньше места, но обеспечивают восстановление для 94% виру-
сов, а полные таблицы Ч для 97% (так считают авторы программы). Кроме того, Вы
можете указать, для каких файлов будет поддерживаться лечение Ч для всех испол-
нимых файлов или только для файлов с некоторыми заданными расширениями. Как
правило, следует выбрать вариант лечения "Всех файлов со структурой ЕХЕ" Ч при
этом программа будет лечить файлы с расширениями .ЕХЕ, .СОМ, .SYS. .ВАТ, .ХТР и
все другие файлы, если они имеют формат .ЕХЕ-файла.
Следующая операция по установке Ч подготовка лечебной дискеты. Следует вставить
в дисковод А: чистую отформатированную дискету, и программа подготовит лечебную
дискету, после чего установка программы будет окончена.
Лечебная дискета
Лечение файлов с помощью программы ADinf Cure Module осуществляется только при
загрузке с лечебной дискеты. После того, как программа установки создала лечебную
дискету, с ней надо выполнить следующие действия.
Глава 36. Защита от вирусов при работе в DOS
Лечение файлов
Выбор
восстанавливаемых
файлов
Режим сохранения
зараженных файлов
Сохранение не
восстановленных
файлов
Рекомендации по
применению ADinf
Cure Module
2.
1. Если Вы используете какие-либо нестандартные драйверы, необходимые для досту-
па к дискам или для загрузки компьютера, скопируйте на лечебную дискету нуж-
ные файлы и откорректируйте файл CONFIG.SYS. Если данные драйверы являются
программами и обычно запускаются из файла AUTOEXEC.BAT, то на лечебной
дискете их надо вызывать из файла CONFIG.SYS командой Install (см. главу 40).
Установить на дискету защиту от записи (если этого не будет сделано, то ADinf
Cure Module откажется лечить файлы).
Одна лечебная дискета может использоваться для нескольких компьютеров.
Замечание. Если переписать с каталог AIDSTEST на лечебной дискете программу Aidstest
(файл AIDSTEST. EXfc), тогда ADinf Cure Module при безуспешном лечении каких-либо
файлов вызовет программу Aidstest для лечения всех жестких дисков (командой AIDSTEST *
/S /G /F ). Я, однако, не рекомендую этого делать.
Если при проверке дисков ревизором ADinf в ответ на запрос о дальнейших действиях
после просмотра сообщения об изменениях в файлах (см. п. 36.4) Вы выберете ответ
Лечить, то после окончания проверки дисков ADinf попросит вставить в дисковод А:
лечебную дискету ADinf Cure Module и перезагрузит компьютер (при работе под
Windows или Windows 95 Ч попросит сделать это пользователя). Лечебная дискета
должна быть защищена от записи.
После загрузки компьютера с лечебной дискеты автоматически вызывается ADinf Cure
Module и спрашивает, какие таблицы следует обрабатывать: общие или личные. Как
правило, следует ответить, что общие. После этого ADinf Cure Module выведет список
измененных файлов, подготовленный ADinf, и попросит отметить в этом списке файлы,
которые надо вылечить. Для_выделения используйте клавиши (Т) и Q для перемеще-
ния по списку файлов и ГПробел^ для выделения файлов. Выбрать все файлы из списка
можно клавишей Q в правой части клавиатуры (а отменить выбор всех файлов Ч
соответственно клавишей Q). Выбранные для лечения файлы отмечаются галочкой Х{
слева. По окончании выбора файлов нажмите клавишу ("Enterj
ADinf Cure Module спросит, сохранять ли зараженные файлы после удачного восста-
новления. Вы можете сохранить для дальнейшего анализа первый из таких файлов, все
такие файлы или не сохранять файлы. При сохранении зараженных файлов последние
две буквы их расширения заменяются на VR. Если у Вас нет свободного времени и
исследовательских наклонностей, рекомендую не сохранять зараженные файлы.
Если ADinf Cure Module не сможет восстановить некоторые из измененных файлов, то
спросит, надо ли удалять невосстановленные файлы. Вы можете удалить все такие
файлы, кроме первого (сохранив для дальнейшего анализа первый невосстановленный
файл), переименовать эти файлы или удалить их. П
буквы расширения имени файлов заменяются на VR. Обычно наиболее удобно пере-
именование файлов Ч тогда командой DIR X:\",?VR /S (где Х Ч буква диска) Вы
сможете получить список файлов, которые надо восстановить с дистрибутивов или из
иных источников.
Замечание. Если ADinf Cure Module вылечил файл, то Вы можете быть твердо уверены в
том, что файл в точности соответствует своему исходному состоянию. Контроль правильно-
сти восстановления осуществляется по трем независимо рассчитанным по всему файлу 32-
битным контрольным суммам.
Хотя при выборе ответа Лечить в ответ на запрос ревизора ADinf сообщение на экра-
не требует сразу вставить лечебную дискету и начать лечение файлов с помощью AD-
inf Cure Module, на самом деле это делать вовсе не обязательно. Можно перезагру-
зиться с обычной системной дискеты и проверить диски с помощью антивирусных про-
грамм-детекторов. Дело в том, что для некоторых вирусов правильное лечение не
оканчивается восстановлением самих измененных файлов (пример Ч вирусы, шиф-
рующие содержимое жесткого диска). Поэтому я бы порекомендовал сначала прове-
рить диски с помощью антивирусных программ-детекторов (Aidstest, Dr.Web и др.), а
если они не помогут, то загрузиться с лечебной дискеты и восстановить зараженные
файлы с помощью ADinf Cure Module.
IX. При переименовании последние две
на VR. Обычно наиболее удобно пере-
36.9. Совместное использование антивирусных программ
В этом параграфе мы расскажем о совместном использовании антивирусных программ
ADinf, Aidstest и Dr.Web.
Часть 7. DOS для опытного пользователя
Механизмы
взаимодействия
Параметр /@
Коды возврата
Ежедневная проверка
дисков
Для интересующихся опишем механизмы, с помощью которых осуществляется взаимо-
действие программ ADinf, Aidstest и Dr.Web. Те читатели, которым эти подробности не
интересны, могут данный пункт пропустить.
Для взаимодействия программ ADinf, Aidstest и Dr.Web в этих программах предусмот-
рен параметр /@. Программа ADinf при указании параметра /вимя-файла-списка по-
мещает в указанный файл список измененных, новых и перемещенных файлов на про-
веренных дисках. Программы Aidstest и Dr.Web при указании параметра /вимя-файла-
списка проверяют файлы из данного списка, после чего удаляют файл списка. А при
указании параметра /в+имя-файла-списка программы Aidstest и Dr.Web проверяют
файлы из данного списка, но потом не удаляют этот файл.
Еще один механизм взаимодействия этих программ, используемый в командных фай-
лах Ч коды возврата, которые могут быть проверены с помощью переменной ERROR-
LEVEL команды IF (см. главу 32).
Программа ADinf формирует следующие коды возврата: 0 Ч нормальное завершение,
все диски проверены, никаких изменений нет; 10 Ч обнаружены изменения, но они не
подозрительные: 20 Ч обнаружены подозрительные изменения; 25 Ч проверка хотя
бы одного диска прервана нажатием клавиши (Esc); 30 Ч работа ADinf прервана нажа-
тием клавиши (ПО); 40 Ч было обнаружено противодействие ADinf со стороны виру-
са: 50 Ч завершение в результате внутренней ошибки. Если произошло несколько из
указанных событий, сообщается больший из кодов возврата.
Программа Aidstest устанавливает следующие коды возврата: 0 Ч вирусы не обнару-
жены; 1 Ч обнаружены вирусы; 2 Ч ненормальное завершение программы; 3 Ч
ошибка в программе Aidstest.
Программа Dr.Web устанавливает следующие коды возврата: 0 Ч вирусы не обнар-
жены; 1 Ч обнаружены известные вирусы; 2Ч обнаружены неизвестные вирусы или
подозрительные файлы.
На основе изложенных сведений легко понять, как при ежедневной проверке дисков с
помощью программы ADinf сразу же проверять новые и измененные файлы на наличие
в них вирусов. Для этого можно использовать следующий командный файл:
@echo off
ADINF * /@C:\ADDTEST.LST /A20 /В /D /L
if error-level 50 goto end
if errorlevel 40 goto vir_in_lt)ein
If errorlevel 30 goto end
If not exist C:\ADDTEST.LST goto end
DRWEB /@+C:\ADDTEST.LST /CL /RV /HI /AR /HA1 /UPN /NS
if errorlevel 2 goto new_vir
if errorlevel 1 goto vir
AIDSTEST /@)C:\ADDTEST.LST /Q /KB
if errorlevel 3 goto end
if errorlevel 2 goto end
if errorlevel 1 goto vir
: no_vir
echo Вирусы не обнаружены.
goto end
: vir_in_mem
pause ВНИМАНИЕ! Обнаружен активный вирус, противодействующий ADinf.
goto end
: vir
Обнаружен известный вирус.
pause ВНИМАНИЕ!
goto end
: new_vir
pause ВНИМАНИЕ! Возможно наличие неизвестного вируса.
goto end
: end
Вызов этого командного файла можно вставить в файл AUTOEXEC.BAT. Например,
если этот файл назван VIRDAILY.BAT, то в файл AUTOEXEC.BAT надо вставить стро-
ку: CALL VIRDAILY. ВАТ . Разумеется, файл VIRDAILY.BAT следует поместить в один из
каталогов, указанных в команде Path.
Глава 36. Защита от вирусов при работе в DOS
Проверки ДИСКР "
И .ЧОВЫХ lhnH/IOh
Х)ciUt"iUH^4 1. Похожий файл SAMPLE.ВАТ содержится на дистрибутивных дискетах ан-
тивирусного комплекта D^AV фирмы "Диалог-Наука". Отличия состоят лишь в том, что я
подправил режимы вызова программ ADinf и Dr.Web и изменил одно сообщение.
2. В данном командном файле использованы не описанные выше режимы программ. Пара-
метр /Авремя у программы ADinI отменяет несущественные остановки и устанавливает
время в секундах, по истечении которого панель со списком изменений на диске автомати-
чески закрывается, если изменения являются подозрительными и пользователь не нажал
какую-лиоо клавишу. Здесь время может быть от 1 до 511 секунд. Параметры /NS у про-
граммы Dr.Web и /NB у Aidstest запрещают прерывание работы этих программ.
3. Если исполнимые файлы программ ADinf, Dr.Web и Aidstest имеют другие имена (не
ADINF.EXE, DRWEB.EXE и AIDSTEST.EXE), то в командном файле надо соответственно
изменить эти имена.
4. Если исполнимые файлы программ ADinf, Dr.Web и Aidstest находятся не в каталогах,
указанных в команде Path, то в командном файле надо указать пути к этим файлам.
Для проверки дискет и новых (полученных извне) файлов с помощью программ
Aidstest и Dr.Web можно использовать следующий командный файл VIRTEST.BAT:
eecho off
If /%1 == / goto NoParm
AIDSTEST K1 %2 %3 "4 *5 *6 %7 %8 %9 /G
if errorlevel 3 goto end
if errorlevel 2 goto end
if errorlevel 1 goto vir
DRWEB %1 %2 %3 %4 %5 %6 %7 %8 *9 /CL /RV /AR /TDC: /HA1 /UPN /HI /AL
if errorlevel 2 goto new_vir
if errorlevel 1 goto vir
: no_vir
echo Вирусы не обнаружены.
goto end
:vir
pause ВНИМАНИЕ! Обнаружен известный вирус.
goto end
: new_vir
pause ВНИМАНИЕ! Возможно наличие неизвестного вируса.
goto end
: NoParm
echo Формат вызова: VIRTEST объект-проверки [объект-проверки]...
echo Здесь объект-проверки - это дисковод, имя каталога или имя файла,
echo а также обозначения: " - проверка всех жестких дисков,
echo *" - проверка всех дисков, начиная с С:
echo Примеры: VIRTEST С: D: - проверка дисков С: и D:
echo VIRTEST А: - проверка диска А:
echo VIRTEST * - проверка всех жестких дисков
echo VIRTEST А:\ - проверка корневого каталога диска А:
echo VIRTEST А:\ТЕХТ.ЕХЕ - проверка файла А:\ТЕХТ.ЕХЕ
: end
3,1м()ч,:1пия^ \ Чтобы несколько убыстрить проверку, можно вместо параметра /HI про-
граммы Dr.Web использовать параметр /ПН Ч не проверять оперативную память.
2. Если исполнимые файлы программ Dr.Web и Aidstest имеют другие имена (не
DRWEB.EXE и AIDSTE^T.EXE), то в командном файле надо соответственно изменить эти
имена.
3. Если исполнимые файлы программ Dr.Web и Aidstest находятся не в каталогах, указан-
ных в команде Path, то в командном файле надо указать пути к этим файлам.
36.10. Использование программы-фильтра
Недостатком антивирусного комплекта DSAV фирмы "Диалог-Наука" является отсут-
ствие в нем программы-сторожа. Правда, фирма "Диалог-Наука" предлагает аппаратно-
программный комплекс Sheriff, однако этот комплекс не умеет проверять вставляемые
в компьютер дискеты и запускаемые файлы на отсутствие в них вирусов. Поэтому це-
лесообразно наряду с использованием программ Aidstest, Dr.Web, ADinf и ADinf Cure
Часть 7. DOS для опытного пользователя
Module применять и резидентную программу-сторожа. Я использую для этих целей
программу NAVTSR.EXE из комплекса Norton Antivirus для Windows (см. главу 51).
Для запуска этой программы надо вставить в файл AUTOEXEC.BAT команду вызова
NAVTSR.EXE. Никаких параметров при этом задавать не надо. Каталог с файлами
Norton Antivirus должен быть указан в команде Path. После этого программа
NAVTSR.EXE будет автоматически контролировать запускаемые файлы на отсутствие
в них известных программе файловых вирусов, а вставляемые в компьютер дискеты Ч
на зараженность известными программе загрузочными вирусами. Кроме того, програм-
ма будет перехватывать наиболее хулиганские действия вирусов (типа заражения сис-
темных областей жесткого диска или форматирования жесткого диска) и выводить
сообщения пользователю.
Для управления режимами программы NAVTSR.EXE можно запустить Norton AntiVi-
rus для Windows, щелкнуть кнопку Options и выбрать пункт Auto-Protect Settings (см.
главу 51). А можно обойтись и без Windows Ч входящая в комплекс программа
NAV.EXE обладает теми же возможностями, что и ее Windows-аналог.
Кстати, хотя Norton Antivirus для Windows Ч программа достаточно древняя, вирусы
она может обнаруживать самые современные: фирма Symantec ежемесячно обновляет
файлы базы данных этой программы со сведениями о вирусах (файлы VIRSCAN.DAT и
VIRSCAN.INF), и эти файлы доступны всем желающим через Internet: WWW-сервер
www.Symantec.corn.
|
Скачать 5.4 Mb.