снятие защиты ведет к активации троянской компоненты, заложенной в
программе. При этом Вы можете не подозревать, что эксплуатируемая
программа является коммерческой, поскольку соответствующие сообще-
ния при снятии защиты часто меняются или исключаются, а сама про-
грамма может быть переименована. Автору известны случаи, когда
разработчики отечественных коммерческих систем защиты программ от
копирования предлагали потенциальным пользователям предусмотреть
действия, вызывающие разрушение информации при запуске защищенной
программы "не на том" компьютере. Остается надеяться, что на это
предложение никто из разработчиков не клюнул.
10.2.2.2. Троянские компоненты в антивирусных программах
Известно несколько случаев распространения вируса с помощью тро-
янской версии антивирусной программы.
10.2.2.3. После покупки компьютера
проверяйте содержимое винчестера
"Опыт растет прямо пропорционально
выведенному из строя оборудованию"
Из законов Мерфи
Все программное обеспечение, содержащееся на винчестере только
что купленной ЭВМ, целесообразно рассматривать как новое. Поэтому
при получении новой машины, если вы не собираетесь переформатиро-
вать винчестер, прежде всего протестируйте винчестер и все полу-
ченные дискеты на наличие вирусов. Кооперативы, перепродающие
ПЭВМ, зарекомендовали себя одними из главных распространителей ви-
русов. Это связано с тем, что перед продажей компьютер часто ис-
пользуется как игровой автомат. Многие пользователи сообщали, что
практически все программы на винчестере были заражены одним или,
чаще, несколькими различными типами вирусов. При тестировании та-
кого винчестера не забудьте загрузиться с заведомо чистой дискеты
с операционной системой. Если у вас еще нет опыта работы с персо-
нальными компьютерами, желательно пригласить специалистов со сто-
роны. Получая болгарское программное обеспечение, будьте внима-
тельны и осторожны: возможно некоторые программы заражены новыми
типами вирусов.
10.2.3. Сегментация информации на винчестере
Второй уровень защиты может быть основан на сегментации винчес-
тера с помощью специального драйвера, обеспечивающего присвоение
отдельным логическим дискам (разделам винчестера) атрибута READ
ONLY, а также простейшую схему парольного доступа. При этом в "не-
потопляемые отсеки" (разделы с установленным атрибутом READ ONLY)
можно записать значительную часть исполняемых программ, включая
большинство трансляторов и утилит. В качестве такого драйвера мож-
но применять различные программы. Автор рекомендует использовать
Advanced Disk Manager, который не только позволяет разбить диск на
разделы, но и организовать доступ к ним с помощью паролей. Кроме
того, уровень обеспечиваемой им защиты от записи выше, чем других
распространенных драйверов.
Количество используемых разделов и их содержимое зависят от ре-
шаемых задач и объема винчестера. Для 20M винчестера можно исполь-
зовать три-четыре раздела. При этом на логическом диске С, с кото-
рого выполняется загрузка, следует оставить лишь минимальное коли-
чество файлов (AUTOEXEC. BAT, COMMAND.COM, CONFIG.SYS, скрытые
системные файлы и программы-ловушки, контролирующие свою контроль-
ную сумму). Остальную часть винчестера следует разбить на зону
трансляторов и системных утилит (также со статусом READ ONLY) и
несколько разделов для отдельных пользователей (групп пользовате-
лей) с соответствующими ограничениями доступа. При этом для мини-
мизации движения головок разделы пользователей можно расположить
между разделом С (MS DOS) и разделом с трансляторами и утилитами.
10.2.4. Защита операционной системы от заражения
"Если какая-нибудь неприятность
может случиться, она случается"
Из законов Мерфи
Важным профилактическим средством в борьбе с файловыми вирусами
является "затруднение им жизни" путем исключения значительной ча-
сти загрузочных модулей из сферы их досягаемости. Этот метод, на-
зываемый сегментацией, был кратко рассмотрен в предыдущем разделе.
Однако применительно к самой операционной системе сегментация на-
столько важна, что на ней стоит остановиться отдельно. При пра-
вильном размещении операционной системы и ряда утилит можно гаран-
тировать, что после начальной загрузки операционной системы она
еще не заражена резидентным файловым вирусом. Это создает настоль-
ко значительные удобства и преимущества, что для достижения этой
цели стоит потратить время и силы на перекомпоновку винчестера,
если это еще вами не сделано. Первой задачей, которую нужно выпол-
нить при "вирусобезопасной" постановке операционной системы - это
разместить ее в защищенном от записи разделе (например, разделе
D).
Следует отметить, что логический диск с операционной системой не
должен быть слишком большим. Туда следует включать только саму
операционную систему и некоторые "стабильные" утилиты (Norton
Utilities, PC SHELL и т.д.). Вопрос о включении модулей транслято-
ров зависит от вашей склонности часто переходить от версии к вер-
сии и источников получения новых версий: общий принцип состоит в
том, чтобы скомпоновать этот диск так, чтобы необходимость входить
в систему с паролем, обеспечивающем возможность записи на этот
диск, возникала как можно реже. Кроме того, новые полученные ути-
литы нельзя включать в состав этого диска без предварительной тща-
тельной проверки и прохождения "карантинного" режима хотя бы в те-
чении месяца. Не стоит впадать из одной крайности в другую и стре-
миться "защитить все подряд" - это существенно затрудняет работу и
в большинстве случаев сводит на нет защиту из-за частой работы в
"открытом" режиме. Оптимальное количество исполняемых файлов, за-
щищенных от записи, вряд ли должно превышать 20-30% от общего ко-
личества файлов. В качестве критериев можно использовать целесооб-
разность подключения соответствующего каталога к PATH, а также
степень стабильности данного программного продукта.
При обычном размещении системных программ и утилит на диске C,
помимо командного процессора, одними из первых обычно заражаются
файлы, входящие в AUTOEXEC.BAT. Поэтому их тоже следует размещать
в разделе винчестера, имеющего статус READ ONLY. Иногда вирусы за-
ражают файлы IBMBIO и IBMCOM. Хотя обычно при этом операционная
система теряет работоспособность, здесь есть нюанс, состоящий в
том, что не рекомендуется (а с помощью DM и нельзя) присваивать
диску С статус READ ONLY. Поэтому эти файлы остаются незащенными,
и в качестве первой операции AUTOEXEC.BAT следует предусматривать
подсчет их контрольной суммы. Это можно сделать с помощью ревизо-
ра или специализированной программы (например, VACINE, см. СП 1-2)
или, наконец, обычной программы сравнения файлов, входящей в MS
DOS (COMP или FC). В последнем случае копии следует разместить в
защищенном от записи разделе. При использовании сторожа FluShot
Plus следует обязательно вставить контрольные суммы для указанных
файлов в соответствующий файл.
10.2.4.1. Стратегия защиты командного процессора
Поскольку командный процессор является излюбленной мишенью для
атаки файловых вирусов, то нужно одновременно оставить его в каче-
стве "мишени" и в то же время не допустить использования заражен-
ного командного процессора при перезагрузке системы. Очевидно, что
эти требования выглядят как взаимоисключающие. Однако им можно
удовлетворить, если "оригинал" командного процессора разместить на
защищенном от записи диске, а после начальной загрузки скопировать
его на виртуальный диск и установить соответствующее значение пе-
ременной COMSPEC. Для того, чтобы командный процессор в процессе
начальной загрузки считывался из защищенного раздела в CONFIG.SYS,
следует включить строку вида:
SHELL = D:\DOS\COMMAND.COM
SHELL = D:\4DOS\4DOS.COM @C:\4DOS.DAT
Последняя строка предполагает использование "альтернативного"
командного процессора 4DOS (читается - FOREDOS). Этот командный
процессор особенно удобен для пользователей, работающих на PC AT
или PS/2, и автор рекомендует индивидуализировать операционную
систему путем его использования вместо стандартного COMMAND.COM
(как известно, имеется по меньшей мере один вирус є Lehigh, ори-
ентированный на заражение именно стандартного COMMAND.COM). Коман-
дный процессор 4DOS (автор использует версию 3.0 от 7.03.90) раз-
работан американской фирмой J.P. Software (P.O. Box 1470,
E.Arlington, MA 02174 USA, (617) 646-3975) и распространяется как
Shareware. Он более удобен в работе, поскольку имеет диалоговый
HELP по всем командам MS DOS и существенно расширенный командный
язык, значительно облегчающий программирование BAT-файлов. Кстати,
диалоговый HELP от 4DOS можно использовать и со стандартным коман-
дным процессором. Как и COMMAND.COM, командный процессор 4DOS.COM
сегментирован и состоит из небольшой резидентной части 4DOS.COM,
размером около 11К (в памяти остается всего 2.5K - меньше, чем у
резидентной части COMMAND.COM) и оверлея 4DOS.EXE или 4DOS286.EXE,
размером около 64К. Шансы, что специализированному вирусу удастся
заразить этот командный процессор тем же методом, что и стандарт-
ный COMMAND.COM, сравнительно невелики.
Вторым шагом является запись командного процессора на виртуаль-
ный диск и переназначение переменной COMSPEC. Для стандартного
COMMAND.COM это выполняется путем включения в качестве первых
строк AUTOEXEC.BAT двух следующих строк:
set comspec=e:\command.com
copy command.com e:
В приведенных строках предполагается, что логический диск E яв-
ляется виртуальным. Использование виртуального диска для хранения
командного процессора (в сочетании с заданием соответствующего
значения параметра COMSPEC) не только превращает его в своего рода
дрозофилу, заражение которой легко контролировать, а удаление ко-
торой с диска обеспечивается автоматически при перезагрузке MS
DOS, но и ускоряет работу с некоторыми оболочками (например,
Norton Commander). При этом целесообразно иметь специальную коман-
ду для периодического контролирования сравнения COMMAND.COM с эта-
лоном (автор использует для этой цели специальную клавишу в поль-
зовательском меню Norton Commander, вызываемом нажатием функцио-
нальной клавиши F2). В этом случае, если Вы во-время заметили из-
менение командного процессора, то не требуется выполнять его до-
полнительное удаление и замену - при перегрузке с эталонной дис-
кеты он будет удален автоматически и вы сможете начать поиск при-
чины заражения на заведомо "чистой" операционной системе.
10.2.4.2. Использование каталога BAT-файлов
Связывание длинной цепочки каталогов по PATH, создает очевидные
удобства при работе. В то же время такое решение имеет и два суще-
ственных недостатка. Во-первых, замедляется поиск запускаемой про-
граммы, а во-вторых, наличие соответствующей строки PATH создает
файловым вирусам идеальные условия для поиска исполняемых файлов.
Поэтому рекомендуется компромиссное решение: указывать в PATH
только каталоги, расположенные на защищенных от записи логических
дисках, а также корневой каталог и один дополнительный каталог с
BAT-файлами. В последний удобно занести файлы, указывающие путь
для исполняемой программы, расположенной на незащищенных от записи
логических дисках. При этом для каждой часто используемой програм-
мы удобно составить отдельный BAT-файл, в котором обычно удается
предусмотреть некоторые дополнительные удобства в виде установки
