Автор работы: Пользователь скрыл имя, 19 Января 2011 в 09:38, реферат
Описание
Компьютерный вирус можно определить как программу, предназначенную выполнить в системе не предусмотренные вами действия и способную к размножению. Это означает, что загруженный в память компьютера вирус создает новый экземпляр своего собственного программного кода, а иногда и изменяет его для маскировки
В
меню Options можно сконфигурировать
программу по собственному
желанию. Здесь можно
установить режим поиска
вирусов-невидимок (Anti-Stealth),
проверки всех (а не
только исполнимых)
файлов (Check All Files), а
также разрешить или
запретить создавать
таблицы CHKLIST.MS (Create New Checksums).
К тому же можно задать
режим сохранения отчета
о проделанной работе
в файле. Если установить
опцию Create Backup, то перед
удалением вируса из
зараженного файла его
копия будет сохранена
с расширением *.VIR
Находясь
в основном меню,
можно просмотреть список
вирусов, известных
программе MSAV, нажав
клавишу F9. При этом
выведется окно с названиями
вирусов. Чтобы посмотреть
более подробную информацию
о вирусе, нужно подвести
курсор к его имени и
нажать ENTER. Можно быстро
перейти к интересующему
вирусу, набрав первые
буквы его имени. Информацию
о вирусе можно вывести
на принтер, выбрав соответствующий
пункт меню.
ADINF
(Advanced Diskinfoscope)
ADinf
относится к классу
программ-ревизоров.
Антивирус имеет
высокую скорость
работы, способен
с успехом противостоять
вирусам, находящимся
в памяти. Он позволяет
контролировать диск,
читая его по секторам
через BIOS и не используя
системные прерывания DOS,
которые может перехватить
вирус.
Для
лечения заражённых
файлов применяется
модуль ADinf Cure Module, не
входящий в пакет ADinf
и поставляющийся отдельно.
Принцип работы модуля -
сохранение небольшой
базы данных, описывающей
контролируемые файлы.
Работая совместно,
эти программы позволяют
обнаружить и удалить
около 97% файловых вирусов
и 100% вирусов в загрузочном
секторе. К примеру,
нашумевший вирус SatanBug
был легко обнаружен,
и заражённые им файлы
автоматически восстановлены.
Причем, даже те пользователи,
которые приобрели ADinf
и ADinf Cure Module за несколько
месяцев до появления
этого вируса, смогли
без труда от него избавиться.
ADinf
имеет хорошо выполненный
дружественный интерфейс,
который реализован
в графическом
режиме. Программа
работает непосредственно
с видеопамятью, минуя
BIOS, при этом поддерживаются
все графические
адаптеры. Наличие
большого количества
ключей позволяет пользователю
создать максимально
удобную для него конфигурацию
системы. Можно установить,
что именно нужно контролировать:
файлы с заданными расширениями,
загрузочные сектора,
наличие сбойных кластеров,
новые файлы на наличие Stealth-вирусов,
файлы из списка неизменяемых
и т.д. По своему желанию
пользователь может
запретить проверять
некоторые каталоги (это
нужно, если каталоги
являются рабочими и
в них всё время происходят
изменения). Имеется
возможность изменять
способ доступа к диску
(BIOS, Int13h или Int25h/26h), редактировать
список расширений проверяемых
файлов, а также назначить
каждому расширению
собственный вьюер,
с помощью которого
будут просматриваться
файлы с этим расширением.
В традициях современного
программного обеспечения
реализована работа
с мышью. Как и вся продукция
фирмы "ДиалогНаука", ADinf
поддерживает программно-аппаратный
комплекс Sheriff.
При
инсталляции ADinf в
систему имеется
возможность изменить
имя основного
файла ADINF.EXE и имя
таблиц, при этом
пользователь может
задать любое имя. Это
очень полезная функция,
так как в последнее
время появилось множество
вирусов, "охотящихся"
за антивирусами (например,
есть вирус, который
изменяет программу Aidstest
так, что она вместо
заставки фирмы "ДиалогНаука"
пишет: "Лозинский -
пень"), в том числе
и за ADinf.
Полезной
функцией является возможность
работы с DOS, не выходя
из программы. Это
бывает полезно, когда
нужно запустить
внешний антивирус
для лечения файла,
если у пользователя
нет лечащего блока ADinf Cure Module.
Ещё
одна интересная функция -
запрещение работы с
системой при обнаружении
изменений на диске.
Эта функция полезна,
когда за терминалами
работают пользователи,
не имеющие ещё
большого опыта в
общении с компьютером.
Такие пользователи,
по незнанию или по халатности,
могут проигнорировать
сообщение ADinf и продолжить
работу как ни в чём
не бывало, что может
привести к тяжёлым
последствиям.
Если
же установлен ключ -Stop
в строке вызова Adinf AUTOEXEC.BAT,
то при обнаружении
изменений на диске
программа потребует
позвать системного
программиста, обслуживающего
данный терминал, а если
пользователь нажмет ESC
или ENTER, то система перезагрузится
и все повторится снова.
Принцип
работы ADinf основан
на сохранении в таблице
копии MASTER-BOOT и BOOT секторов,
список номеров сбойных
кластеров, схему дерева
каталогов и информацию
обо всех контролируемых
файлах. Кроме того,
программа запоминает
и при каждом запуске
проверяет, не изменился
ли доступный DOS объем
оперативной памяти (что
бывает при заражении
большинством загрузочных
вирусов), количество
установленных винчестеров,
таблицы параметров
винчестера в области
переменных BIOS.
При
первом запуске программа
запоминает объем
оперативной памяти,
находит и запоминает
адрес обработчика
прерывания Int 13h в
BIOS, который будет использоваться
при всех последующих
проверках, и строит
таблицы для проверяемых
дисков. При этом проверяется,
показывал ли вектор
прерывания 13h в BIOS перед
загрузкой DOS.
При
последующих запусках ADinf
проверяет объем
оперативной памяти,
доступной DOS, переменные BIOS,
загрузочные сектора,
список номеров сбойных
кластеров (так как некоторые
вирусы, записавшись
в кластер, помечают
его, как сбойный, чтобы
их не затёрли другие
данные, а также не обнаружили
примитивные антивирусы).
К тому же антивирус
ищет вновь созданные
и уничтоженные подкаталоги,
новые, удаленные, переименованные,
перемещённые и изменившиеся
файлы (проверяется
изменение длины и контрольной
суммы). Если ADinf обнаружит,
что, изменился файл
из списка неизменяемых,
либо в файле произошли
изменения без изменения
даты и времени, а также
наличие у файла странной
даты (число больше 31,
месяц больше 12 или год
больше текущего) или
времени (минут больше 59,
часов больше 23 или секунд
больше 59), то он выдаст
предупреждение о том,
что возможно заражение
вирусом.
После
проверки ADinf выдаёт
сводную таблицу,
сообщающую об изменениях
на диске. По таблице
можно перемещаться
стрелками и просматривать
подробную информацию,
нажав ENTER на интересующем
пункте. Существует
возможность перехода
к любому пункту с помощью "быстрых"
клавиш. Изменившиеся
файлы можно просмотреть
в классическом режиме (шестнадцатеричный
дамп / ASCII-коды) с помощью
встроенного вьюера,
который читает диск
через BIOS. Можно также
воспользоваться внешним
вьюером, предварительно
указав к нему путь.
Подключив внешний редактор,
можно отредактировать
изменившийся файл.
Не
совсем привычно выглядит
форма, в которой ADinf
сообщает об обнаруженных
подозрительных изменениях:
вместо выдачи сообщения
о конкретных изменениях
он выводит красное
окно со списком всех
возможных и помечает
галочкой пункты, соответствующие
изменениям, произошедшим
в настоящий момент.
Если после получения
такого сообщения нажать ESC,
то программа запросит
о дальнейших действиях:
обновить информацию
о диске, не обновлять
её, лечить (при наличии
лечащего модуля ADinf Cure Module)
или записать протокол.
Для лечения можно воспользоваться
внешним антивирусом,
загрузив его из окна
работы с DOS, которое
вызывается комбинацией
клавиш ALT+V.
Если
изменения не относятся
к разряду подозрительных,
то после выдачи таблицы
изменений можно нажать ESC.
При этом программа
спросит, нужно ли обновлять
данные о диске в таблицах
или не нужно, а также
нужно ли создавать
файл в отчетом о проделанной
работе. После выбора
одного из пунктов программа
выполняет затребованное
действие и завершает
свою работу.