была бы реставрация cостояния предыдущего рабочего дня. Если при
загрузке системы появляется сообщение об ошибке или возникает аварийное
состояние системы, то для того, чтобы минимизировать рабочие потери необходимо
предпринять следующую последовательность действий:
- сохранить LOG-файл предыдущего (при системной аварии - сегоднящнего)
дня посредством копирования его на дискету;
- посредством программы HISTORY.EXE привести оптический диск в состояние
предыдущего (в случае аварии - сегодняшнего) дня;
- с помощью программы KEYLOG.COM распечатать LOG-файл;
- локализовать место ошибки внутри LOG-файла;
- с помощью команды "KEYGET+9999 (логическое имя файла)" можно, исключив
циклы ожидания и автоматически воспроизведя работу, достичь места
ошибки;
- вручную воспроизводится только команда введенная после ошибки.
Такая последовательность действий дает пользователю максимальную
гарантию при минимальных рабочих затратах.
5. Особенности
Использование кварцевого и WORM-диска влечет за собой, также как и
использование KEYLOG.SYS, KEYSAVE.COM и AS.COM, имеет некоторые особенности,
которые должны быть рассмотрены несколько подробнее:
- возможность чрезвычайно быстрого доступа к программам, размещенным на
кварцевом диске;
- неизменяемость программ, размещенных на кварцевом диске;
- значительная экономия времени ввиду необходимости значительно более
редкого копирования данных для сохранения, поскольку оптический диск
позволяет в любое время воспроизвести состояние данных каждого дня;
- возможность очень длительного (десять лет) времени сохранения
данных на оптическом диске;
- 800 Мбайт памяти для пользовательских программ и данных;
- постоянный контроль за любым вводом (по заданию времени);
- возможность формирования ежедневного протокола работы.
- 297 -
6. Системные компоненты
Система состоит из следующих аппаратных компонент:
- 10 Мгц АТ (640 Кбайт ОЗУ);
- 0,36/1,2 Мбайт дисковод для дискет;
- 35 Мбайт жесткий диск;
- 2 кварцевых диска, совместная память до 1 Мбайта максимум;
- 800 Мбайт оптический диск.
Для безопасной работы вводятся следующие компоненты программного
обеспечения:
- операционная система MS-DOS 3.3;
- KEYLOCK.SYS (драйвер клавиатуры с блокировкой, а также различные
специальные функции по особому заказу);
- START_D.SYS (драйвер кварцевого диска);
- WORM.SYS (драйвер оптического диска);
- AS.COM (программа проверки; обеспечивает целостность информации);
- KEYSAVE.COM (создает SYSLOG для вводов с клавиатуры);
- KEYLOG.COM (создает распечатку протокола LOG-файла);
- KEYGET.COM (восстанавливает дату после системной аварии);
- HISTORY.COM (восстанавливает стертые или измененные данные).
7. Специальные возможности
Поскольку такого рода комплексная система (по производительности
и емкости памяти - это почти мини-ЭВМ) трудно обозреваема, а
требования к ней со стороны пользователе весьма различны, предлагается,
помимо индивидуальных консультаций, ее комплексная установка по
индивидуальным пользовательским запросам.
Такая установка подразумевает:
- определение системно-значимых данных;
- включение этих данных в процесс тестирования;
- формирование права доступа при системных ошибках;
- восстановление данных или программ в случае ошибки;
- разработку и включение специальных функций по желанию пользователя.
- 298 -
15.7 Что делать, если ЭТО все же произошло ?
Снова и снова обращаются люди с этим вопросом к автору. Общий ответ
на этот вопрос невозможен. Несмотря на то, что распознать начало заражения
вообще чрезвычайно трудно, дальнейшие действия зависят в первую очередь
от значимости оборудования, программы и данных. В экстремальных случаях
одно лишь подозрение в возможном заражении может повлечь за собой
полное выключение оборудования и уничтожение всех данных и программ.
Однако в виду того, что читатель этой книги, как правило, не относится
к владельцам оборудования со столь важными данными, нужно не доводить
дело до таких экстремальных случаев. Предлагаем несколько советов, которые
помогут читателю минимизировать риск распространения вируса. Разумеется
момент, в который необходимо переходить к перечисленным ниже мероприятиям,
определяется самим пользователем и зависит, как уже упоминалось, от
важности собственно вычислительного оборудования и актуальности данных.
Вот двенадцать шагов, которые помогут Вам избежать серьезных последствий:
1. Выключить оборудование (отключить питание).
Таким образом любое дальнейшее распространение вируса прекращается.
Кроме того, удаляются вирусы, резидентные в оперативной памяти.
2. Отсоединить все линии передачи данных, оставив подключенными лишь
необходимые для работы процессора периферийные устройства.
Таким образом можно:
а) исключить возможность распространения "инфекции" за пределами
ЭВМ;
b) перекрыть пути внедрения вирусов в процессор извне;
3. Носители данных, насколько это возможно, снабдить защитой записи.
Для дискеты это означает заклейку прорези, предназначенной для защиты,
для больших дисков (типа Control Data) или для магнитной ленты -
это означает, обычно, выключение тумблера "защита записи". Таким
образом предотвращается дальнейшее распростанение заражения.
4. Использовать для нового запуска оригинальную версию операционной системы.
Так называется полученная с поставкой и, чаще всего, защищенная от
записи дискета (или сменный диск). Резервная копия, смотря по
обстоятельствам, уже может быть зараженной !
- 299 -
5. Данные и программы скопировать на новый носитель данных и опечатать.
Эта информация может помочь при устранении повреждений, поскольку
служит доказательством претензий к виновнику. Кроме того, она может
оказаться чрезвычайно важной в том случае, когда резервная копия
испорчена (вирусом или чем-либо другим). Опечатывание должно воспре-
пятствовать несанкционированному использованию носителя данных.
6. Все старые носители данных системы отформатировать. Вновь удалить
защиту записи и предпринять форматирование. Посредством
форматирования удаляются все, возможно находящиеся на носителе данных,
вирусы.
7. Оригинальную версию программного обеспечения использовать для
восстановления. Для оригинальной версии, которая как правило, защищена
от записи, можно предполагать отсутствие вирусов.
8. Сохраненое состояние данных проверить на целостность. Резервные копии
данных должны быть проверены, чтобы гарантировать, что с ними
не производилось никаких манипуляций (при этом для
данных нет никакой опасности, они могут быть только изменены).
9. Если целостность была установлена, данные переносятся в систему.
Если определенно установлено, что состояние данных не изменялось,
они без всяких сомнений могут быть использованы в дальнейшем.
10. Если целостность не может быть гарантирована, последняя резервная копия,
для которой эта целостность установлена, используется для
реставрации данных. Иногда это может означать, что необ-
ходимо вернуться к очень старым копиям данных.
11. Опечатанные записи программ передаются на исследовательское
оборудование, предназначенное для поиска вирусов, чтобы либо
подтвердить предположение о заражении, либо отказаться от него.
Адреса исследовательских можно получить у автора этой книги.
Распознавание вирусов позволит другим пользователям надежно от
него защититься.
12. Для работы устанавливают тестирующее или защитное программное
- 300 -
обеспечение и тщательнейшим образом тестируют систему.
Каждое необычное изменение в характеристиках вычислительного
оборудования протоколируется и этот протокол передают на соответствующее
исследовательское оборудование.
Эти мероприятия тоже не обещают полной гарантии, но риск
дальнейшего распролстранения может быть ощутимо уменьшен. Особенно важно
каждый вновь обнаруженный вирус каталогизировать с помощью исследовательского
оборудования для того, чтобы своевреммено предупредить о возможной опасности
остальных пользователей.
15.8 Что делать со стандартами ?
Рассмотренная выше опасность, которая вытекает из факта появления
компьютерных вирусов, связана в первую очередь, со стандартизацией ЭВМ.
Вторым условием ее возникновения является сама идея Неймановской ЭВМ,
с ликованием встреченная в 1948 году. До этого момента программы
состояли только из механически изменяемого аппаратного обеспечения в
форме проводниковых связей, которые должны были заново устанавливаться
при перепрограммировании. Помешать решению подобным образом запрограмми-
рованной задачи не смог бы ни один вирус в мире ! Фон Нейман предложил
революционную идею, заменить эти проводниковые связи информацией о них
и хранить их как данные в памяти ЭВМ. По этому поводу д-р Ганцхорн (IBM)
сказал: " Ранние машины-автоматы уже могли выполнять автоматически довольно
много операций. Однако управление ими требовалo постоянного изменения внешних
управляющих сигналов или дополнительных управляющих устройств. Основная
идея хранящихся в памяти программ состоит в том, чтобы отобразить эти сигналы
и устройства их преобразования в виде информации. Таким образом,
вычислительная машина, обрабатывающая информацию, имеет возможность
обрабатывать и изменять не только нужную информацию, но и свой
собственный порядок работы, который точно также запоминается в ней в виде
информации."
В момент введения изобретенной вычислительной системы, пожалуй,
никто не предчувствовал,что именно это свойство автомодификации
должно быть проклято системными инженерами и пользователями во
всем мире! Однако до этого момента был еще долгий путь,на
котором могли быть достигнуты все новые уровни производительности.
Читатель мог бы вернуться мысленно на несколько лет назад и вспомнить
"удобную" для эксплуатации вычислительную систему того времени.Если в
- 301 -
такой системе нужно было внести изменение в программу или установить
новую программу,то при использовании перфокарт или перфолент,
для этого необходимо было,смотря по обстоятельствам, от нескольких
часов до нескольких дней. Никакая, даже самая эффективная
вирусная программа была бы не в состоянии сократить
время,необходимое для загрузки или вывода перфокарт или перфолент
с ее текстом.
Только с введением дисковых накопителей стало легко изменять или
разрабатывать новые программы,однако это были задачи,которые были по
силам лишь лучшим инженерам.Затем, создание домашних компьютеров
приблизило знания об операционном и программном обеспечении к
"среднестатистическому" гражданину, однако эти устройства были все еще
слишком громоздкими, и могли потребовать для загрузки одной большой
программы до получаса времени.Кроме того, рынок был затоплен компьютерами с
различными операционными системами, из которых некоторые не заслуживали
имени "операционной", а некоторые и не претендовали на него.
Параллельно с этим разрабатывались персональные компьютеры, к которым
причисляются ЭВМ с операционной системой СР/М. С СР/М случилось
прямо-таки невероятное.Программы, разработанные для ЭВМ фирмы Х,
действительно могли быть запущены в эксплуатацию на ЭВМ фирмы
Y. Предполагалось,что дискетный формат согласуется, что вообще почти
неправдоподобно. Когда же изготовитель действительно останавливался
на СР/М,то дискетные форматы - приблизительно несколько сот - были
настолько различны, что польза от совместимости снова исчезала.
Поскольку емкость в 128 Кб для 8-дюймовых дискет могла быть столь же
