SYSINFO, из версии 5 утилит П.Нортона. Один экземпляр распечатки
рекомендуется наклеить на папку с планом восстановления винчестера
(см. ниже), а другой є на последнюю страницу инструкции к данной
ЭВМ. Кроме того необходимо записать содержимое CMOS в файл с по-
мощью программы DiskTool из 5 версии утилит П.Нортона, СMOSER (СП
9-90) или SAVECMOS А.Водяника (СП 2-3). Для некоторых типов BIOS
содержимое отдельных байтов CMOS не выдается на экран, однако важ-
но для правильной работы машины.
Эти меры связаны с тем, что рано или поздно элемент, обеспечива-
ющий питание CMOS-памяти, выйдет из строя. Кроме того, известно
неcколько троянских программ, которые при запуске портят CMOS.
Иногда содержимое CMOS уничтожается из-за ошибки в "нормальной"
программе. Хотя элемент питания рассчитан на несколько лет, опыт
показывает, что средняя продолжительность жизни CMOS обычно не
превышает нескольких месяцев. Если содержимое CMOS потеряно, то
при отсутствии точных данных о типе установленного винчестера воз-
никает ряд очень неприятных проблем, когда значение некоторых па-
раметров приходится устанавливать экспериментально. Это особенно
трудно, когда на машине установлен нестандартный (например, трех-
дюймовый) винчестер.
10.3.5. Переписывая программы, различайте эталонную и рабочую
копию
Дистрибутивные эталонные версии рекомендуется хранить отдельно в
архивированном виде. Если дисковод обеспечивает формат 720К, то на
одну дискету обычно входит три архивных "образа" 360К дискет. Но-
вая версия архиватора PKARC (PKZIP) позволяет рекурсивно сворачи-
вать подкаталоги, тем самым делая рассматриваемый вид хранения бо-
лее привлекательным. При работе с Norton Commander рекомендуется
определить для файлов с расширениями ZIP, ARC, и LZH вызов архива-
тора в режиме выдачи на экран справки с архива или вызов диалого-
вой оболочки для соответствующего архиватора (SHEZ, NARC и др.).
Передавая программы, копируйте дистрибутивные, а не рабочие
копии. В нынешних условиях это долг вежливости по отношению к то-
му, кому переписывается программное обеспечение. Храните справки с
дистрибутивной копии для сравнения.
Переписывая программы, старайтесь копировать дистрибутивные вер-
сии, а не рабочие копии, хранящиеся на винчестере. Обязательно от-
печатайте справку с архива с контрольными суммами.
Очень полезно вести каталог используемых программ на dBase или
какой-то аналогичной системе. За счет более точной информации о
состоянии архива можно значительно уменьшить объем еженедельного
архивирования и, тем самым, сэкономить время и силы.
10.4. Методика применения средств защиты
Методика применения средств защиты предполагает их наличие и же-
лание ими пользоваться. К сожалению, часто можно констатировать
отсутствие как первого, так и второго из этих условий. Спектр от-
ношения пользователей к антивирусным программам колеблется от пол-
ного равнодушия до страстного коллекционирования. Однако наличие
антивирусных программ является только необходимым условием. Важно
не только иметь последние версии антивирусных программ, но и сис-
тематически ими пользоваться. К новым антивирусным средствам, по-
лученным "обычным" путем следует относиться с такой же осторож-
ностью, как и ко всем остальным программам. Антивирусные средства,
не снабженные средствами самоконтроля целостности, могут оказаться
зараженными. Кроме того, изредка встречаются троянские версии ан-
тивирусных средств. Ранее уже упоминались троянские версии сторожа
FluShot и полифага Aidstest.
10.4.1. Типичные ошибки
Как уже указывалось, самой грубой и распространенной ошибкой при
использовании персональных компьютеров является отсутствие надле-
жащей системы архивирования информации. Никакие средства защиты
не заменят надлежащей организации ведения архивов. Другой грубой
ошибкой является запуск полученной программы без ее предваритель-
ного анализа на зараженность и без установки максимального режима
защиты винчестера с помощью ADM и запуска резидентного сторожа.
Запуск программы является в современных условиях далеко небезопас-
ной операцией и рисковать содержимым винчестера из-за чрезмерного
любопытства, наверное, не стоит. Следует также обратить внимание
на ситуацию, характерную для школ и вузов. Поскольку у студентов
обычно мало дискет, то им приходится запускать отдельные программы
(например, игровые) с дискет своих товарищей. Эта ситуация особен-
но характерна для вузовских "залов персональных ЭВМ". При этом мо-
жет произойти заражение одной из программ или бутсектора, если со-
ответствующий компьютер оказался зараженным. Поэтому следует всег-
да защищать дискеты от записи, если они используются для считыва-
ния программ на нескольких компьютерах. Снимать защиту от записи
стоит только на время, необходимое для обновления содержимого дис-
кеты. Новые программы по возможности следует записывать на новые
дискеты, не смешивая их сразу со старыми, проверенными программа-
ми.
При неправильном или неумелом использовании антивирусные про-
граммы могут сами в ряде случаев становиться источником проблем.
Имеется несколько типичных ошибок при применении антивирусных
средств. Наиболее распространенной из них является запуск антиви-
русных программ (чаще всего, фагов) на зараженном резидентным ви-
русом компьютере. Конечно, сейчас создатели большинства качествен-
ных антивирусных средств предусматривают такую возможность и ана-
лизируют память компьютера перед началом работы, однако такая ме-
тодика эффективна, в основном, против уже известных вирусов и мо-
жет не сработать на каком-то новом. Поэтому следует особо подчерк-
нуть основной "гигиенический" принцип компьютерной вирусологии:
ВСЕ ДЕЙСТВИЯ ПО ИССЛЕДОВАНИЮ "ПОДОЗРИТЕЛЬНОГО" ИЛИ ЗАРАЖЕННОГО
КОМПЬЮТЕРА СЛЕДУЕТ ВЫПОЛНЯТЬ ТОЛЬКО НА ПРЕДВАРИТЕЛЬНО
ЗАГРУЖЕННОЙ С ЗАЩИЩЕННОЙ ОТ ЗАПИСИ ЭТАЛОННОЙ ОПЕРАЦИОННОЙ
СИСТЕМЫ И ИСПОЛЬЗУЯ ТОЛЬКО ПРОГРАММЫ, ХРАНЯЩИЕСЯ НА ЗАЩИЩЕННЫХ
ОТ ЗАПИСИ ДИСКЕТАХ.
Выполнение действий по анализу и восстановлению на зараженной
операционной системе является грубой ошибкой и может иметь катаст-
рофические последствия. В частности, при этом могут быть заражены
остальные, еще незараженные, программы. Например, при резидентном
вирусе RCE-1800 (Dark Avenger) запуск фага, не рассчитанного на
данный вирус, приведет к заражению всех проверявшихся фагом загру-
зочных модулей, поскольку вирус RCE-1800 перехватывает прерывание
по открытию и чтению файлов и при работе фага будет заражать каж-
дый проверяемый фагом файл.
Второй типичной ошибкой является выполнение перезагрузки системы
при наличии "защелкнутой" дискеты в дисководе А. При этом BIOS де-
лает попытку загрузиться именно с этой дискеты, а не с винчестера
и, в результате, если дискета заражена бутовым вирусом, происходит
заражение винчестера.
Третьей распространенной ошибкой является запуск "батареи" фа-
гов. Очевидно, что прогон десяти фагов, предназначенных для вируса
С-648, не излечит ни одного файла, зараженного, скажем, вирусом
RСЕ-2890. В данном случае следует придерживаться принципа "лучше
меньше, да лучше" и запускать средства защиты, предварительно
определив, хотя бы ориентировочно, с каким типом вируса пришлось
столкнуться. Обычно для определения типа вируса достаточно запус-
тить батарею полидетекторов (которая может включать и фаги, на-
строенные на режим детектирования), а затем просмотреть дамп (с
помощью PCTools или Norton Utilities) одной или нескольких зара-
женных программ.
Четвертой типичной ошибкой является чрезмерная доверчивость к
разработчикам антивирусных средств. Хотя разработкой антивирусных
средств обычно занимаются высококвалифицированные программисты, не
следует думать, что созданные ими программы безупречны. Как и вся-
кие программы, они содержат ошибки, причем ситуация усугубляется
тем, что те их части, которые относятся к самым новым вирусам и
тем самым представляют наибольшую ценность, часто бывают написаны
наспех, в условиях острейшего дефицита времени. Поэтому следует
считать, что на вашей системе выполняется отладка этих новых час-
тей, которая как и всякая отладка, может иметь негативные послед-
ствия как для отдельных файлов, так и для файловой системы в це-
лом. Если у вас нет свежего архива, то запуск любой антивирусной
программы на всю файловую систему становится потенциально опасной
операцией. Это относится прежде всего к фагам, выполняющим "хирур-
гическое вмешательство" в программы. Известны случаи, когда фаг
принимал один вирус за другой и все "вылеченные" программы оказы-
вались неработоспособными.
10.4.2. Методика применения детекторов
Детекторы, рассчитанные на конкретные вирусы, также можно рас-
сматривать как специализированные программы-ревизоры, однако каче-
ство обеспечиваемого ими анализа вызывает сомнения и они должны
контролироваться другими методами, в частности, с помощью глобаль-
ного контекстного поиска. Следует отметить, что наиболее удобны
детекторы, обнаруживающие не один, а целый ряд распространенных
вирусов (полидетекторы). Имеется два основных типа полидетекторов:
с фиксированным набором сигнатур и переменным набором.
Детекторы с фиксированным набором сигнатур, в общем случае, эф-
фективнее полидетекторов с переменным набором. Обычно такие детек-
торы являются составной частью полифага. Однако имеется и "чистый"
полидетектор є SCAN. Текущая (на момент написания данной работы)
версия полидетектора SCAN детектирует более двухсот вирусов и их
разновидностей (имеется и резидентная версия, проверяющая файлы
при загрузке - SCANRES). Качество детектирования є невысокое (име-
ется много ложных срабатываний). Большинство используемых данным
полидетектором сигнатур приведено в прил.1 и 2.
Среди полидетекторов, входящих в полифаги, следует отметить де-
тектор, встроенный в полифаг TNTVIRUS. В отличие от полифага, яв-
ляющегося коммерческим продуктом, полидетектор входит в распрост-
раняемую бесплатно демонстрационную версию. Эта громоздкая (более
100К) программа имеет неплохой турбоинтерфейс и детектирует, по
данным его авторов (впрочем, вызывающих сомнения) более ста ви-
русов. Качество детектирования следует оценить как весьма среднее
(в большинстве случаев используется обычный контекстный поиск).
Многие из используемых сигнатур приведены в прил.1 и 2. За исклю-
чением интерфейса и количества сигнатур данный полидетектор усту-
пает аналогичным отечественным программам по количеству ложных
срабатываний и качеству распознавания наиболее распространенных в
нашей стране вирусов. Из полидетекторов, встроенных в отечествен-
ные полифаги наиболее интересен режим детектирования, обеспечивае-
мый полифагом Kxx Е.Н.Сусликова и полифагом AV И.Сысоева. Послед-
ний обнаруживает порядка 40 вирусов, являясь при этом самой ма-
ленькой (менее 20К) и быстрой программой такого рода. Как уже
указывалось, программы этого типа представляют наибольший интерес
как средство входного контроля нового программного обеспечения, в
особенности, поступающего без контрольных сумм.
Второй тип полидетекторов более интересен, поскольку фактически
представляет собой системные программы общего применения, которые
можно использовать не только для поиска вирусов, но и во всех
случаях, когда нужно найти все файлы, содержащие хотя бы одну из
заданной группы текстовых строк (ключевых слов). Набор строк для
поиска обычно задается в виде специального файла. Этот тип полиде-
текторов наиболее полезен при обнаружении какого-то нового, еще
неизвестного, вируса. Первое, что нужно сделать в этом случае -
это определить сигнатуру для поиска. Надежнее всего использовать
