Осторожно компьютерные вирусы

       

Ревизор диска ADinf и лечащий модуль ADinf Cure Module


Использование антивирусных программ не может гарантировать полную защиту компьютера от заражения вирусами. Антивирусные программы-полифаги типа Aidstest и Doctor Web в первую очередь настроены на обнаружение уже известных вирусов и их клонов. В Doctor Web есть эвристический анализатор, обнаруживающий большинство новых вирусов, но все же существует небольшая вероятность появления вируса, который не будет обнаружен. Кроме того, даже если новый вирус будет обнаружен, вылечить его сразу не удастся. Поэтому в антивирусный комплект включена программа-ревизор ADinf, созданная Мостовым Дмитрием Юрьевичем.

Ревизор диска ADinf сохраняет в своих таблицах различную информацию о жестком диске компьютера - загрузочных секторах, сбойных кластерах, структуре каталогов и выполнимых файлах (рис. 3.3). Это позволяет выявить любой вирус, как только он проявит себя и попытается заразить новые файлы или загрузочные секторы.

Так как стелс-вирусы перехватывают обращения к дисковой подсистеме компьютера и скрывают присутствие вируса, ADinf считывает информацию с диска, минуя операционную систему. Для чтения диска ADinf обращается непосредственно к соответствующей функции BIOS, записанной в ПЗУ компьютера. В этом случае вирус не может перехватить обращение к диску, и ADinf получает достоверную информацию.

На этом, в частности, основан метод поиска активных стелс-вирусов. Ревизор ADinf считывает проверяемые файлы и загрузочные секторы двумя способами: через операционную систему и непосредственно через вызов BIOS. Полученные данные сравниваются. Если между ними обнаруживаются различия, значит в памяти находится активный стелс-вирус, скрывающий свое присутствие.

Рис. 3.3. Проверка диска ревизором ADinf

В состав антивирусного комплекта входит дополнительный модуль ADinf Cure Module, предназначенный для использования совместно с ревизором ADinf. ADinf Cure Module разработан Ладыгиным В. С., Зуевым Д. Г. и Мостовым Д. Ю. В нашей книге мы рассматриваем ADinf версии 10.5a и лечащий модуль ADinf Cure Module версии 3.03.


Дополнив ревизор ADinf лечащим модулем ADinf Cure Module, вы получаете возможность не только обнаружить появление вируса, но также и удалить его. Интересно, что ADinf Cure Module не содержит вирусной базы данных и может удалить даже новый, ранее неизвестный вирус. Для этого лечащий модуль использует информацию о зараженном файле, собранную им до того, как файл был поражен вирусом. Версии 3.03 и 3.04 ADinf Cure Module позволяют удалить вирусы из COM-, EXE-, SYS-, XTP- и BAT-файлов.

Когда книга готовилась к публикации, вышла новая версия ревизора ADinf 10.6 и лечащий модуль ADinf Cure Module версии 3.04. По сравнению с предыдущими версиями программ, в них добавлена возможность установки ADinf и ADinf Cure Module на сетевом диске.

Теперь при работе в локальной сети ADinf и ADinf Cure Module можно установить на сервере, что облегчит администратору смену версий программ. При запуске с сетевого диска ADinf по умолчанию ищет свой файл настроек и личные таблицы в каталоге C:\ADINF на локальной машине. Этот каталог можно изменить, указав дополнительный параметр -HOME:<путь>. Улучшена совместимость с новой операционной системой Windows 95 - изменен алгоритм работы с  файлами при  лечении, что  обеспечивает сохранение  длинных имен файлов.


Содержание раздела