Главная      Учебники - Разные     Лекции (разные) - часть 17

 

Поиск            

 

Лекция по дисциплине: Теория надежности на тему: “ Защита информации от компьютерных вирусов”

 

             

Лекция по дисциплине: Теория надежности на тему: “ Защита информации от компьютерных вирусов”

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

САРАПУЛЬСКИЙ ПОЛИТЕХНИЧЕСКИЙ ИНСТИТУТ (филиал)

ИЖЕВСКОГО ГОСУДАРСТВЕННОГО ТЕХНИЧЕСКОГО УНИВЕРСИТЕТА

по дисциплине: Теория надежности

на тему: “ Защита информации от компьютерных вирусов”

Выполнил: студент гр. 661 Ощепков С.А.

Проверил: Ст. преподаватель Мымрина Л.И.

Сарапул 2007


Содержание.


1.КОМПЬЮТЕРНЫЙ ВИРУС

С проблемой компьютерных вирусов и их возможностей связано, наверное, наибольшее число легенд и преувеличений. Многие люди, а иногда и целые организации панически бояться заражения своих машин. На самом деле все не так страшно. Чтобы не заразить свои компьютеры, достаточно соблюдать лишь небольшое число элементарных правил, но соблюдать их неукоснительно.

1.1. Что такое компьютерный вирус

В общем случае компьютерный вирус – это небольшая программа, которая приписывает себя в конец исполняемых файлов, «драйверов», или «поселяется» в загрузочном секторе диска. При запуске зараженных программ и драйверов вначале происходит выполнение вируса, а уже потом управление передается самой программе. Если же вирус «поселился» в загрузочном секторе, то его активизация происходит в момент загрузки операционной системы с такого диска. В тот момент, когда управление принадлежит вирусу, обычно выполняются различные неприятные для пользователя, но необходимые для продолжения жизни данного вируса действия. Это нахождение и заражение других программ, порча данных и т.д. Вирус может также остаться в памяти резидентно и продолжать вредить до перезагрузки компьютера. После окончания работы вируса управление передается зараженной программе, которая обычно работает «как ни в чем не бывало», маскируя тем самым наличие в системе вируса. К сожалению, очень часто вирус обнаруживается слишком поздно, когда большинство программ уже заражено. В этих случаях потери от зловредных действий вируса могут быть очень велики.

В последнее время появились так называемые макровирусы. Они передаются вместе с документами, в которых предусмотрено выполнение макрокоманд (например, документы текстового редактора Word), отсюда и их название. Макровирусы представляют собой макрокоманды, которые предписывают переносить тело вируса в другие документы. и, по возможности, совершать различные вредные действия. Наибольшее распространение в настоящее время получили макровирусы, заражающие документы текстового редактора Word 6.0/7.0 для Windows и табличного редактора Excel 5.0/7.0 для Windows.

1.2. Как проявляют себя вирусы

Проявление вирусов весьма различны:

- Сильное замедление работы компьютера.

- Неожиданное появление на экране посторонних фраз.

- Появление различных видеоэффектов (например, перевертывание экрана).

- Пропадание информации с экрана (один из хранителей экрана под названием Worms в Norton Commander 5.0 очень точно имитирует работу известного вируса - «поедание» информации своеобразной гусеницей).

- Генерация различных звуков.

- Некоторые программы перестают работать, а другие ведут себя очень странно.

- На дисках появляется большое количество испорченных файлов данных, текстовых файлов.

- Разом рушится вся файловая система на одном из дисков.

- Операционная система неожиданно перестает видеть винчестер.

- Произвольно изменяется длина отдельных файлов.

- Неожиданные проблемы с 32-х битным доступом к диску и файлам в Windows 3.11 или Windows 95.

Разные вирусы могут вести себя по-разному. Некоторые только размножаются, не совершая вредных действий, другие же сразу после заражения совершают множество очень неприятных действий. Есть такие, которые вначале ведут себя незаметно, а по прошествии какого-то времени вдруг разом портят все данные (скажем, форматируется винчестер). А бывают вирусы, которые стараются ввести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске компьютера.

Таким образом, если не предпринимать мер защиты от вируса, то последствия заражения компьютера могут быть очень серьезными. Например, в1989г, вирусом, написанным американским студентом Моррисом, были заражены и выведены из строя тысячи компьютеров, в том числе принадлежащих министерству обороны США. Автор вируса был приговорен судом к трем месяцам тюрьмы и штрафу в 270 тыс.дол. Наказание могло быть и более строгим, но суд учел, что вирус не портил данные. а только размножался.

Для того чтобы программа-вирус была незаметной, она должна быть небольшой. Поэтому, как правило, вирусы пишутся на языке ассемблера. Некоторые авторы таких программ создали их из озорства, некоторые - из стремления «насолить» кому-либо или из ненависти ко всему роду человеческому. В любом случае созданная программа-вирус может (потенциально) распространиться на всех компьютерах, совместимых с тем, для которого она была написана, и причинить очень большие разрушения.

Следует заметить, что написание вируса – не такая уж сложная задача, вполне доступная изучающему программирование студенту. Поэтому еженедельно в мире появляются все новые и новые вирусы. И многие из них сделаны в нашей стране и в других недостаточно цивилизованных странах: Болгарии, Пакистане и т.д.

2.ТИПЫ ВИРУСОВ

Вирусы различаются между собой как по способу проникновения в систему, так и по способу функционирования. Рассмотрим основные классы вирусов.


2.1.Вирусы – спутники.

Наиболее примитивный тип вирусов. Для каждого файла с расширением .ехе создают тот же файл с тем же именем,. но с расширением .сом, содержащий тело вируса. При запуске файла операционная система вначале ищет .сом файлы, а потом .exe файлы. Поэтому вначале управление получает вирус, а затем уже он сам вызывает необходимый .exe файл.

2.2.Файловые вирусы.

Поражают файлы с расширением .com, .exe, реже .sys или оверлейные модули .exe файлов. Эти вирусы дописывают свое тело в начало, середину или конец файла и изменяют его таким образом, чтобы первыми получить управление. Некоторые из этих вирусов не заботятся о сохранении заражаемого файла. В результате чего он оказывается неработоспособным; и что самое печальное, такой файл нельзя восстановить. Часть этих вирусов после запуска остается в памяти резидентно.

2.3.Загрузочные вирусы.

Поражают загрузочные сектора дисков. Инфицирование новых дисков происходит в тот момент, когда в зараженный компьютер вставляют новую дискету и начинают с ней работать. Часто вирус не помещается целиком в загрузочной записи, туда пишется только его начало, а продолжение тела вируса сохраняется в другом месте диска. После запуска остаются в памяти резидентно.

2.4.Вирусы, сочетающие в себе свойства файловых и загрузочных вирусов .

Такие вирусы могут поражать как файлы, так и загрузочные сектора дисков.

2.5.Вирусы DIR .

Интересный класс вирусов, появившийся недавно. Эти вирусы изменяют файловую систему диска очень хитрым образом. В таблице размещения файлов (FAT) для всех исполняемых файлов ссылки на начало заменяются ссылками на тело вируса. Адреса же начала файлов в закодированном виде помещаются в неиспользуемые элементы директории. В результате, как только вы запускаете любую программу, управление автоматически получает вирус. Он остается в памяти резидентно и при работе восстанавливает правильные ссылки на начала файлов. Если диск, зараженный вирусом DIR, попадает на чистый компьютер, считать с него данные, естественно, оказывается невозможным (читается только один кластер). При попытке протестировать файловую структуру – скажем, Norton Disk Doctor – на экран выдается сообщение об огромном количестве ошибок, но стоит запустить хоть одну программу с зараженного диска, как файловая система тут же «восстанавливается». На самом же деле происходит инфицирование еще одного компьютера.

2.6.Макровирусы.

Весьма оригинальный класс вирусов (хотя вирусами в полном смысле этого слова их даже нельзя назвать), заражающий документы, в которых предусмотрено выполнение макрокоманд. При открытии таких документов вначале исполняются макрокоманды (специальные программы высокого уровня), содержащиеся в этом документе, - макровирус как раз и представляет собой такую макрокоманду. Таким образом, как только будет открыт зараженный документ, вирус получит управление и совершит все вредные действия (в частности, найдет и заразит еще не зараженные документы).

3.МЕХАНИЗМ ЗАЩИТЫ ВИРУСОВ ОТ ОБНАРУЖЕНИЯ

Как правило, вирусы легко обнаруживаются по особым участкам кода тела вируса. Правда, в последнее время широкое распространение получили два новых типа вирусов – вирусы-невидимки (или стелс-вирусы ) и самомодифицирующиеся вирусы (вирусы-призраки ), которые очень трудно обнаружить.

3.1.Стелс-вирусы

Стелс-вирусы . (от английского steflth ) реализуют очень хитрый механизм, затрудняющий их обнаружение. При заражении эти вирусы остаются в памяти резидентно и при обращении к зараженным файлам и областям диска подменяют информацию так, что «заказчик» получает ее в незараженном, исходном виде. Достигается это перехватыванием обращений DOS и установкой своих векторов прерываний. Увидеть такой вирус можно либо на незараженном компьютере (например, загрузившись с заведомо чистой дискеты), либо в том случае, когда программа не пользуется средствами DOS , а напрямую обращается к диску.

3.2.Вирусы-призраки

Вирусы-призраки маскируются с помощью другого механизма . Эти вирусы постоянно модифицируют себя таким образом, что не содержат одинаковых фрагментов. Такие вирусы хранят свое тело в закодированном виде и постоянно меняют параметры этой кодировки. Стартовая же часть, занимающаяся декодированием непосредственно самого тела, может генерироваться весьма сложным способом. При переносе вируса данного типа с компьютера на компьютер код вируса изменяется таким образом, что уже не имеет ничего общего со своим предыдущим вариантом. А часть вирусов может самомодифицироваться и в пределах одного компьютера. Обнаружение таких вирусов весьма затруднено, хотя часть антивирусных программ пытается находить их по участкам кода, характерным для стартовой части.

Аналитический обзор антивирусов

В своём е я попробую описать все плюсы и минусы современных антивирусных программ, таких как, DrWeb for Windows, Kaspersky Anti-Virus, Panda Antivirus.

Для начала можно поставить вопрос, волнующий всех без исключения пользователей. Какой антивирус самый лучший? Ответ будет - "любой", если на вашем компьютере вирусы не водятся, и вы не пользуетесь вирусо-опасными источниками информации, такими как Интернет и чужие источники и хранители данных. Если же вы любитель новых программ, игрушек, ведете активную переписку по электронной почте и используете при этом Word или обмениваетесь таблицами Excel, то вам все-таки следует использовать какой-либо антивирус. Какой именно - решайте сами, однако есть несколько позиций, по которым различные антивирусы можно сравнить между собой. Качество антивирусной программы определяется, на мой взгляд, по следующим позициям, приведенным в порядке убывания их важности:

  1. Надежность и удобство работы - отсутствие "зависаний" антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.
  2. Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов, таблиц (MS Word, Excel, Office97,98,МЕ,ХР), упакованных и архивированных файлов. Отсутствие "ложных срабатываний". Возможность лечения зараженных объектов. Для сканеров (см. ниже), как следствие, важной является также периодичность появления новых версий (апдейтов), т.е. скорость настройки сканера на новые вирусы.
  3. Существование версий антивируса под все популярные платформы (DOS, Windows, Windows98, Windows NT, Novell NetWare, OS/2, Alpha, Linux и т.д.), присутствие не только режима "сканирование по запросу", но и "сканирование на лету", существование серверных версий с возможностью администрирования сети.
  4. Скорость работы и прочие полезные особенности, функции.
  5. И для меня важным является язык интерфейса программы.

Надежность работы антивируса является наиболее важным критерием, поскольку даже "абсолютный антивирус" может оказаться бесполезным, если он будет не в состоянии довести процесс сканирования до конца - "повиснет" и не проверит часть дисков и файлов и, таким образом, оставит вирус незамеченным в системе. Если же антивирус требует от пользователя специальных знаний, то он также окажется бесполезным - большинство пользователей просто проигнорирует сообщения антивируса и нажмут [OK] либо [Cancel] случайным образом, в зависимости от того, к какой кнопке ближе находится курсор мыши в данный момент. Ну а если антивирус будет чересчур часто задавать сложные вопросы рядовому пользователю, то, скорее всего, он (пользователь) перестанет запускать такой антивирус или даже удалит его с диска.

Качество детектирования вирусов стоит следующим пунктом по вполне естественной причине. Антивирусные программы потому и называются антивирусными, что их прямая обязанность - ловить и лечить вирусы. Любой самый "навороченный" по своим возможностям антивирус бесполезен, если он не в состоянии ловить вирусы или делает это не вполне качественно. Например, если антивирус не детектирует 100% какого-либо полиморфного вируса, то при заражении системы этим вирусом такой антивирус обнаружит только часть (допустим 99%) зараженных на диске файлов. Необнаруженными останется всего 1%, но когда вирус снова проникнет в компьютер, то антивирус опять обнаружит 99%, но уже не от всех файлов, а только от вновь зараженных. В результате заражено на диске будет уже 1.99%. И так далее, пока все файлы на диске не будут заражены при полном молчании антивируса.

Поэтому качество детектирования вирусов является вторым по важности критерием качества антивирусной программы, более важным, чем "многоплатформенность", наличие разнообразного сервиса и т.д. Однако если при этом антивирус с высоким качеством детектирования вирусов вызывает большое количество "ложных срабатываний", то его "уровень полезности" резко падает, поскольку пользователь вынужден либо уничтожать незараженные файлы, либо самостоятельно производить анализ подозрительных файлов, либо привыкает к частым "ложным срабатываниям", перестает обращать внимание на сообщения антивируса и в результате пропускает сообщение о реальном вирусе.

"Многоплатформенность" антивируса является следующим пунктом в списке, поскольку только программа, рассчитанная на конкретную операционную систему, может полностью использовать функции этой системы. "Неродные" же антивирусы часто оказываются неработоспособными, а иногда даже разрушительными. Если для расшифрования диска (данный вирус шифрует сектора диска) воспользоваться DOS-антивирусом, то результат может оказаться плачевным: информация на диске окажется безнадежно испорченной, поскольку Windows не позволит антивирусу пользоваться прямыми вызовами чтения/записи секторов при расшифровке секторов. Антивирус же, являющийся Windows-программой, справляется с этой задачей без проблем.

Возможность проверки файлов "на лету" также является достаточно важной чертой антивируса. Моментальная и принудительная проверка приходящих на компьютер файлов и вставляемых дискет является практически 100%-й гарантией от заражения вирусом, если, конечно, антивирус в состоянии детектировать этот вирус. Очень полезными являются антивирусы, способные постоянно следить за "здоровьем" сервер - Novell NetWare, а в последнее время, после массового распространения макро-вирусов, и за почтовыми серверами, сканируя входящую/исходящую почту. Если же в серверном варианте антивируса присутствуют возможность антивирусного администрирования сети, то его ценность еще более возрастает.

Следующим по важности критерием является скорость работы. Если на полную проверку компьютера требуется несколько часов, то вряд ли большинство пользователей будут запускать его достаточно часто. При этом медленность антивируса совсем не говорит о том, что он ловит вирусов больше и делает это лучше, чем более быстрый антивирус. В разных антивирусах используются различные алгоритмы поиска вирусов, один алгоритм может оказаться более быстрым и качественным, другой - медленным и менее качественным. Все зависит от способностей и профессионализма разработчиков конкретного антивируса.

Наличие всяческих дополнительных функций и возможностей стоит в списке качеств антивируса на последнем месте, поскольку очень часто эти функции никак не сказываются на уровне "полезности" антивируса. Однако эти дополнительные функции значительно упрощают жизнь пользователя, и, может быть, даже подталкивают его запускать антивирус почаще.

Для пользователя, не обременённого знанием иностранного языка, или знающего язык на уровне школы важным является язык интерфейса антивируса. Конечно, можно, для того, чтобы узнать каждую функцию лесть в словарь, но не каждому пользователю понравится это.

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как -либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус). Более того, невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства - Фред Коэн.

Следует также обратить внимание на несколько терминов, применяемых при обсуждении антивирусных программ:

  • "Ложное срабатывание" (False positive) - детектирование вируса в незараженном объекте (файле, секторе или системной памяти). Обратный термин - "False negative", т.е. недетектирование вируса в зараженном объекте.
  • "Сканирование по запросу" ("on-demand") - поиск вирусов по запросу пользователя. В этом режиме антивирусная программа неактивна до тех пор, пока не будет вызвана пользователем из командной строки, командного файла или программы-расписания (system scheduler).
  • "Сканирование налету" ("real-time", "on-the-fly") - постоянная проверка на вирусы объектов, к которым происходит обращение (запуск, открытие, создание и т.п.). В этом режиме антивирус постоянно активен, он присутствует в памяти "резидентно" и проверяет объекты без запроса пользователя.

И так перейдём непосредственно к обзору программ, защищающих от вирусной атаки. Существует не одна программа, позволяющая защитить компьютер. Их разновидности можно перечислить следующим образом:

Программы- ревизоры . Антивирусные ревизоры имеют единый алгоритм поиска изменений. В процессе работы они выполняют следующие операции:

1. Подсчитывают контрольные суммы (CRC-суммы) для дисковых секторов и файлов.

2. Сохраняют CRC-суммы в специальной базе данных (таблице).

3. Сравнивают при следующих проверках реальные (новые) CRC-суммы с и

прежними значениями, хранящимися в базе данных.

В базе данных также хранится дополнительная информация о файлах — их длины, время создания и последней модификации, атрибуты и данные, необходимые для восстановления измененных (зараженных) файлов. В базе данных также хранятся полные образы загрузочных секторов диска (Master-Boot и Boot), список номеров сбойных кластеров, схема дерева подкаталогов и прочая информация обо всех контролируемых объектах.

Помимо этого, ревизоры запоминает и затем при каждом запуске проверяет информацию об операционной системе и установленном аппаратном обеспечении: объем оперативной памяти (контроль на заражение загрузочным вирусом), количество установленных жестких дисков.

При проверках эта программа обращается к секторам диска напрямую непосредственно через IOS и не использует стандартные методы (прерывания INT 21h и INT 13h). Данная особенность работы позволяет ему успешно обнаруживать так называемые стелс-вирусы (вирусы-невидимки). Другой разновидностью этой программы являются Доктора – ревизоры.

Программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными. При лечении используются ранее сохранённые данные о состоянии файлов и системных областей диска. Данная информация практически восстанавливается. Естественно, что если копии файлов сохраняются, то они должны занимать место на диске.

Программы- фильтры (Блокировщики).

Антивирусные блокировщики - это резидентные программы, перехватывающие "вирусо-опасные" ситуации и сообщающие об этом пользователю. К "вирусо-опасным" относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно "выползает неизвестно откуда". К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ (мне, например, неизвестно ни об одном блокировщике для Windows - нет спроса, нет и предложения).

Необходимо также отметить такое направление антивирусных средств, как антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера ("железа"). Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает "ложное срабатывание" защиты.

Существует несколько более универсальных аппаратных блокировщиков, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные блокировщики крайне непопулярными на фоне остальных типов антивирусной защиты.

Имунизаторы

Имунизаторы делятся на два типа: имунизаторы, сообщающие о заражении, и имунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких имунизаторов всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом.

Второй тип иммунизации защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные (пример - печально известная строка "MsDos", предохраняющая от ископаемого вируса "Jerusalem"). Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.

Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов: одни вирусы считают уже зараженными файлы, если время создания файла содержит метку 62 секунды, а другие - 60 секунд. Однако, несмотря на это, подобные имунизаторы в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.

Сканеры

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски". Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфных вирусов.

Во многих сканерах используются также алгоритмы "эвристического сканирования", т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения ("возможно заражен" или "не заражен") для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.

Сканеры также можно разделить на две категории - "универсальные" и "специализированные". Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.

Сканеры также делятся на "резидентные" (мониторы), производящие сканирование "налету", и "нерезидентные", обеспечивающие проверку системы только по запросу. Как правило, "резидентные" сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как "нерезидентный" сканер способен опознать вирус только во время своего очередного запуска.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам - размеры антивирусных баз, которые сканерам приходится "таскать за собой", и относительно небольшую скорость поиска вирусов.

Основные (Распространённые) Антивирусные программы

Наиболее распространенным в России является пакет антивирусных программ, разработанный Санкт-Петербургским «вирусологом» Евгением Касперским, носящий его имя «Kaspersky Anti-Virus». Данный пакет сочетает в себе все перечисленные выше программы защиты от вирусов. В нём представлены и сканеры, и имунизаторы, и блокировщики, и ревизоры и т.д.

Начнём по порядку рассматривать все программы, входящие в систему и их свойства.

Антивирусный сканер Kaspersky Anti-Virus– программа для проверки компьютера на присутствие вирусов по запросу пользователя, и удаления вирусов в случае их обнаружения.

В процессе работы антивирусный сканер выполняет следующие функции.

Обнаруживает и удаляет вирусы всех типов в файлах на указанных для проверки дисках, в загрузочных секторах и оперативной памяти.

Обнаруживает и удаляет вирусы из файлов, упакованных PKLITE, LZEXE, DIET, COM2EXE и другими утилитами сжатия.

Обнаруживает вирусы в архивированных файлах всех наиболее распространенных форматов (ZIP, ARJ, LHA, RAR и др.).

Обнаруживает вирусы в локальных почтовых ящиках наиболее распространенных почтовых систем.

Используя усовершенствованный эвристический механизм поиска неизвестных вирусов (эффективность которого - до 92%).

Запуск программы может быть произведен одним из следующих способов:

1) из главного меню Windows;

2)из Kaspersky ANTI-VIRUS Control Centre(о нём расскажу позже);

3)из командной строки.

Один из быстрых способов запуска – запуск через главное меню Windows. Для этого нажмите кнопку Пуск, затем выберите раздел Программы, далее войдите в группу Kaspersky Anti-Virus и запустите пункт Kaspersky Anti-Virus Scanner. После этого откроется главное окно программы, и в панели задач появится значок, щелкнув по которому правой клавишей мыши, Вы можете открыть системное меню. После запуска программы на экране откроется главное окно программы, и в панели задач появится значок, щелкнув по которому правой клавишей мыши, можно открыть системное меню. Системное меню состоит из следующих пунктов:

Параметры Kaspersky Anti-Virus Scanner… — открыть главное окно программы.

Начать сканирование / Остановить сканирование — запустить сканирование / остановить сканирование.

Приостановить сканирование / Продолжить сканирование — приостановить сканирование / возобновить сканирование.

Изменить приоритет процесса сканирования — изменить приоритет процесса сканирования (данный пункт доступен только если запущен процесс сканирования).

Показать отчет — показать окно с результатами работы программы.

Обновить антивирусные базы – запустить программу обновления антивирусных баз Kaspersky ANTI-VIRUS Updater.

О программе — показать справочное окно с основными сведениями о программе.

Выгрузить Kaspersky Anti-Virus Scanner — выгрузить программу из памяти.

Главное окно программы Kaspersky ANTI-VIRUS Scanner предназначено для изменения настроек сканирования, запуска/остановки сканирования и просмотра результатов. Вы можете закрыть главное окно, не выгружая программу из памяти.

В панели инструментов собраны кнопки, нажимая на которые, Вы можете инициировать те или иные действия:

Файл - Загрузить профиль - Загрузить параметры из файла настроек

Файл - Сохранить профиль - Сохранить параметры в файле настройки

Сканирование - Начать сканирование -Начать сканирование

Сканирование - Приостановить сканирование / Продолжить сканирование Сканирование - Остановить сканирование - Остановить сканирование

Сканирование -Просмотреть параметры сканирования - Показать параметры в виде последовательного текста

Сервис - Показать отчет - Показать окно отчета

Сервис - Обновить антивирусные базы - Запустить программу обновления антивирусных баз

Файл- Выгрузить Kaspersky Anti-Virus Scanner - Выгрузить программу из памяти.

Категория «Объекты» рабочей области служит для выбора области сканирования и объектов, подлежащие сканированию. Выбор области и объектов осуществляется с помощью дерева настроек объектов. Дерево настроек объектов можно просматривать в обычном режиме или режиме эксперта. Переход из обычного режима в режим эксперта осуществляется с помощью кнопок Стандарт и Эксперт главного окна.

В обычном режиме дерево настроек объектов представляет собой две панели: левая — список дисков компьютера, и правая — дерево настроек выбранного в левом списке объекта.

В режиме эксперта дерево настроек объектов состоит из трех панелей: левая — иерархия файловой системы компьютера, правая — дерево настроек выбранного в иерархии объекта, нижняя — список файлов, расположенных в корне выбранного в иерархии объекта. Кроме того, в режиме эксперта в иерархию файловой системы включается объект "Сетевое окружение".

Область проверки задается в левой панели, которая содержит иерархию файловой системы компьютера вместе с индикаторами проверки каждой из областей файловой системы. Индикатор проверки может быть либо включен: , что соответствует указанию проверять выбранную область, либо выключен: , что соответствует пропуску выбранной области.

Чтобы программа сканировала область файловой системы, необходимо включить расположенный слева от ее названия индикатор проверки.

Чтобы выбрать для сканирования группу дисков, Выберите в панели с иерархией файловой системы строку "Мой компьютер", и включите в правой панели с деревом настроек нужный переключатель:

Сканировать сменные диски — сканировать все съемные диски. Переключатель доступен только из дерева настройки объекта "Мой компьютер". Его включение равнозначно включению в файловой иерархии объектов индикаторов проверки всех съемных дисков.

Сканировать жесткие диски — сканировать все локальные жесткие диски. Переключатель доступен только из дерева настройки объекта "Мой компьютер". Его включение равнозначно включению в файловой иерархии объектов индикаторов проверки всех локальных жестких дисков.

Сканировать сетевые диски — сканировать все доступные сетевые диски. Переключатель доступен только из дерева настройки объекта "Мой компьютер". Его включение равнозначно включению в файловой иерархии объектов индикаторов проверки всех доступных сетевых дисков.

Включив индикатор некоторой области файловой системы, Вы автоматически включаете индикаторы всех областей, содержащихся внутри выбранной. Однако при желании Вы сможете исключить из сканирования папку или файл, перейдя в режим эксперта.

Например, Вы выбрали для сканирования диски C: и D:, но не хотите, чтобы была проверена папка D:\public\archives, поскольку уверены, что ее содержимое не содержит вирусов. В этом случае Вы можете включить индикаторы слева от названий дисков C: и D, а затем, раскрыв в файловой иерархии диск D:, отключить индикатор напротив названия папки D:\public\archives.

Если Вы исключили папку из сканирования, у всех "родительских" областей файловой системы индикатор с галочкой изменится на индикатор с галочкой и треугольником справа внизу. Таким способом программой обозначается ситуация, когда одна из областей файловой системы, содержащейся внутри выбранной, проверяется иначе, чем вся область. Вы можете снять различия правил проверки внутри одной области, или, напротив, зафиксировать их надолго.

Каждой из областей файловой системы Вы можете присвоить свои параметры сканирования. В каждой из выбранной для сканирования области проверки Вы задаете объекты проверки с помощью дерева настроек правой панели.

В случае обнаружения зараженных или подозрительных объектов программа будет предпринимать одно из следующих действий:

Спросить пользователя – в случае обнаружения вируса Kaspersky AV Scanner будет открывать диалоговое окно. Данное окно содержит имя инфицированного файла, название обнаруженного вируса и список возможных действий над инфицированным объектом – перечень всех возможных действий за исключением Спросить пользователя . Кроме того, появляющееся диалоговое окно содержит переключатель Применить ко всем инфицированным объектам , включив который Вы сможете распространить выбранное в диалоге действие на все последующие найденные инфицированные объекты, в качестве действий для которых была задано открывать диалоговое окно. Тогда при обнаружении очередного зараженного объекта диалоговое окно уже появляться не будет. В нижней части окна располагаются три кнопки “OK" (принятие выбранных действий), “Отменить” (закрытие окна и продолжение процесса сканирования) и “Стоп” (остановка процесса сканирования).

Только отчет – при обнаружении зараженных или подозрительных объектов программа будет только информировать Вас о них. Отчет о проверке можно увидеть, запустив программу просмотра отчетов Kaspersky Report Viewer.

Лечить — пытаться лечить все зараженные объекты без предварительного запроса. В результате лечения зараженного объекта вирусы будет удалены, а сам объект будет восстановлен в работоспособном виде.

Сохранять файл копии исходного объекта — перед началом лечения создавать копию зараженного объекта. Каталог, в котором будет создана копия, задается в дереве настроек категории Параметры (см. п. "Параметры переименования объектов"). После завершения лечения копия удаляться не будет.

Если лечение невозможно — не для всех зараженных объектов возможно лечение, т.к. некоторые вирусы портят информацию на компьютере необратимо. В этом случае программа-сканер может действовать одним из трех методов: Только отчет — информировать о неудачной попытке лечения,

Переименовывать объект — переименовывать неподдающийся лечению файл, Удалять объект— удалять испорченный файл.

Переименовывать объект — переименовывать все зараженные объекты. Правила переименования задаются в дереве настроек категории Параметры (см. п. "Параметры переименования объектов").

Удалять объект — удалять все зараженные объекты без предупреждения.

Для инфицированных архивов правила Удалять объект и Переименовывать объект будут действовать только в том случае, если поставлен флажок Разрешить удаление или переименование инфицированных архивов на закладке Параметры. В противном случае выбранное действие – удаление или переименование архивов – программой осуществляться не будет.

Вы можете включить дополнительные режимы – сканирования архивов, упакованных файлов, почтовых баз данных и файлов почтовых форматов, вложенных объектах. Все эти режимы собраны в одну группу:

Сканировать составные файлы следующих типов — обрабатывать сложные объекты как папки, содержащие набор объектов.

Сканирование архивов и самораспаковывающихся файлов

Обнаружение вирусов в архивах является очень важной задачей, поскольку вирус может храниться в заархивированном файле несколько месяцев или лет, не причиняя вреда, а затем быстро распространиться и причинить массу хлопот.

Архивы — искать вирусы в файлах архивов, которые созданы архиваторами ZIP, ARJ, LHA, RAR, CAB и некоторыми другими.

Антивирус Касперского не удаляет вирусы из архивов, а только обнаруживает их. Кроме того, Антивирус Касперского не распаковывает архивы, защищенные паролем.

При работе с архивами поэтому рекомендуется установить флажок Архивы и снять флажок Разрешить удаление или переименование инфицированных архивов на закладке Параметры, в том случае когда в качестве действия с инфицированными объектами Вы выбрали их удаление или переименование. В этом случае, если в архиве был найден зараженный файл, в отчет будет помещена соответствующая запись, но архив удален или переименован не будет. Вы сможете его распаковать, затем запустить процесс сканирования и удалить из извлеченных файлов вирусы.

Если флажок Разрешить удаление или переименование инфицированных архивов будет установлен, Вы можете потерять информацию, которая поддается восстановлению.

Самораспаковывающиеся архивы — искать вирусы в самораспаковывающихся архивах, т.е. исполняемых файлах, которые при запуске распаковывают содержащиеся в них архивы. Некоторые самораспаковывающиеся архивы также сразу запускают один из извлеченных из архива файлов.

Механизм распаковки корректно работает и с многократно упакованными файлами. Он также работает с некоторыми версиями имунизаторов файлов — программ, защищающих выполняемые файлы от заражения путем присоединения к ним контролирующих блоков (CPAV и F-XLOCK), а также шифрующих программ (CryptCOM).

Сканирование почтовых баз и файлов почтовых форматов

Программа может проверять почтовые базы данных и файлы почтовых форматов.

Почтовые базы данных — сканировать почтовые базы данных. Проверяются почтовые базы данных следующих форматов:

Microsoft Outlook, Microsoft Exchange (файлы *.pst и *.pab, тип архива MS Mail);

Microsoft Internet Mail (файлы *.mbx, тип архива MS Internet Mail).

Eudora Pro & Lite;

Pegasus Mail;

Netscape Navigator Mail;

JSMail SMTP/POP3 server (базу данных по пользователям).

В режиме проверки почтовых баз данных будет проверять каждую запись в базах электронной почты, сканировать на вирусы присоединенные файлы. При этом поддерживаются форматы: UUEncode; XXEncode; btoa (до 5.0); btoa 5.*; BinHex 4.0; ship; NETRUN 3.10; NETSEND 1.0 (не упакованный); NETSEND 1.0C (упакованный); MIME base64.

Почтовые текстовые форматы — сканировать файлы электронной почты форматов Eudora Pro & Lite, Pegasus Mail, Netscape Navigator Mail, JSMail, базу по пользователям SMTP/POP3 сервер.

В режиме сканирования файлов почтовых текстовых форматов Антивирус Касперского будет проверять каждый файл на наличие в нем заголовка электронного письма и при его обнаружении будет искать присоединенные данные (UUEncode, XXEncode, и т.д.) и проверять их на вирус.

При включении режима сканирования почтовых баз данных и особенно режима сканирования файлов почтовых текстовых форматов скорость работы Kaspersky AV Scanner может уменьшиться. Поэтому не рекомендуем их использовать при обычных проверках всех файлов Вашего компьютера.

Kaspersky AV Scanner не удаляет вирусы из почтовых баз данных и файлов почтовых текстовых форматов, а только обнаруживает их. Однако в специальном режиме сканирования Сканировать базы данных MS Outlook Express, программа будет не только обнаруживать, но и удалять вирусы из баз данных MS Outlook Express версии 5.0 и выше.

Сканирование вложенных объектов

Программа позволяет сканировать не только файлы, но и связанные с ними по OLE-технологии объекты.

Вложенные объекты — сканировать OLE-объекты, погруженные в проверяемые файлы.

Эвристический анализатор. Вы можете включить режим эвристического сканирования файлов для обнаружения еще неизвестных программе вирусов (не входящих в антивирусные базы).

Использовать эвристический анализатор кода — включить проверку с помощью Эвристического Анализатора. Эвристический анализатор проверяет коды файлов и секторов по разным ветвям алгоритма Антивируса Касперского на наличие вирусоподобных инструкций. Если эвристический анализатор обнаруживает комбинацию команд, таких как открытие или запись в файл, перехват векторов прерываний и т.д., то проверяемый файл считается “подозрительным”, о чем выдается соответствующее сообщение. Запуск и остановка сканирования могут быть осуществлены либо автоматически, с помощью программы Kaspersky AV Control Centre, либо вручную из программы Kaspersky AV Control Centre, либо вручную из главного окна Kaspersky AV Scanner.

После начала сканирования Вы можете приостанавливать и возобновлять процесс сканирования, менять его приоритет, а также останавливать сканирование.

Вы можете просмотреть список всех вирусов, известных программе на настоящий момент. Для этого

1. Выберите в меню Сервис пункт Создать список вирусов. После этого будет запущена программа Kaspersky Virus List Generator.

2. В открывшемся диалоговом окне Kaspersky Virus List Generator задайте имя файла, куда следует записать список вирусов. Для этого нажмите на кнопку Обзор и укажите название файла.

3. Нажмите на кнопку Создать.

Чтобы просмотреть список, нажмите на кнопку Список. После этого будет запущена программа Kaspersky Report Viewer, с помощью которой Вы сможете просмотреть созданный список.

Чтобы закрыть диалоговое окно Kaspersky Virus List Generator, нажмите на кнопку Выход.

Вы можете запускать программу Kaspersky Virus List Generator автономно. Для этого нажмите на кнопку Пуск в панели задач Windows, далее перейдите! в подменю Программы, а затем в группе Kaspersky Anti-Virus запустите пункт Kaspersky Virus List Generator.

Следующее приложение, рассмотренное нами будет Kaspersky AV Monitor. Антивирусный монитор Kaspersky Anti-Virus Monitor– это программа, которая постоянно находится в оперативной памяти компьютера и контролирует обращения к файлам. Прежде чем монитор разрешает доступ к объекту, он проверяет его на наличие вируса и если вирус обнаружен, то предлагает вылечить зараженный объект, либо удалить, либо заблокировать доступ к объекту (это зависит от сделанных Вами настроек). Таким образом, антивирусный монитор позволяет обнаружить и удалить вирус до момента реального заражения системы.

Существует несколько способов запуска антивирусного монитора:

1)запуск монитора из главного меню Windows;

2)автоматический запуск монитора из меню Автозагрузка;

3)автоматический запуск Kaspersky AV Monitor из Kaspersky AV Control Centre;

4)запуск программы из командной строки.

После запуска программы на экране откроется главное окно программы, и в панели задач появится значок, щелкнув по которому правой клавишей мыши, Вы можете открыть системное меню. Системное меню состоит из следующих пунктов:

Параметры Kaspersky Anti-Virus Monitor — открыть главное окно программы. Отключить мониторинг / Включить мониторинг — приостановить / возобновить мониторинг.

Показать отчет — показать окно с отчетом о результатах работы программы.

Обновить антивирусные базы – запустить программу обновления антивирусных баз Kaspersky AV Updater.

О программе — показать справочное окно с основными сведениями о программе.

Выгрузить Kaspersky Anti-Virus Monitor — выгрузить программу из памяти.

рабочая область главного окна состоит из двух частей. В левой части находится список категорий и соответствующих им значков. В правой части отображается содержимое категорий. Существует четыре категории: Объекты, Параметры, Настройка и Статистика.

Категория Объекты позволяет задать область мониторинга, подлежащие мониторингу объекты, и правила обработки инфицированных объектов. Все эти настройки организованы в специализированный элемент управления, дерево настроек иерархии объектов.

Категория Параметры позволяет задать общие настройки, а категория Настройка — специальные настройки программы с помощью обычного дерева настроек .

Категория Статистика позволяет просматривать результаты работы программы в таблице.

У элементов дерева настроек имеется контекстное меню, используя которое, можно выполнять операции, применимые именно к этим элементам.

Чтобы вызвать контекстное меню элемента дерева настроек,

1. Подведите курсор мыши к нужному элементу.

2. Нажмите на правую клавишу мыши. После этого откроется контекстное меню элемента.

Категория Объекты рабочей области служит для выбора области мониторинга и объектов, подлежащие мониторингу. Выбор области и объектов осуществляется с помощью дерева настроек объектов. Дерево настроек объектов можно просматривать в обычном режиме или режиме эксперта. Переход из обычного режима в режим эксперта осуществляется с помощью кнопок Стандарт и Эксперт главного окна.

В обычном режиме дерево настроек объектов представляет собой две панели: левая — список дисков компьютера, и правая — дерево настроек выбранного в левом списке объекта.

В режиме эксперта дерево настроек объектов состоит из трех панелей: левая — иерархия файловой системы компьютера, правая — дерево настроек выбранного в иерархии объекта, нижняя — список файлов, расположенных в корне выбранного в иерархии объекта. Кроме того, в режиме эксперта в иерархию файловой системы включается объект "Сетевое окружение".

Область проверки задается в левой панели, которая содержит иерархию файловой системы компьютера вместе с индикаторами проверки каждой из областей файловой системы. Индикатор проверки может быть либо включен: , что соответствует указанию проверять выбранную область, либо выключен: , что соответствует пропуску выбранной области.

Чтобы программа проводила мониторинг области файловой системы, необходимо включить расположенный слева от ее названия индикатор проверки.

Чтобы выбрать для мониторинга группу дисков, Выберите в панели с иерархией файловой системы строку "Мой компьютер", и включите в правой панели с деревом настроек нужный переключатель.

Сканировать сменные диски — проверять все съемные диски. Переключатель доступен только из дерева настройки объекта "Мой компьютер". Его включение равнозначно включению в файловой иерархии объектов индикаторов проверки всех съемных дисков.

Сканировать все локальные жесткие диски — проверять все локальные жесткие диски. Переключатель доступен только из дерева настройки объекта "Мой компьютер". Его включение равнозначно включению в файловой иерархии объектов индикаторов проверки всех локальных жестких дисков.

Сканировать сетевые диски — проверять все доступные сетевые диски. Переключатель доступен только из дерева настройки объекта "Мой компьютер". Его включение равнозначно включению в файловой иерархии объектов индикаторов проверки всех доступных сетевых дисков.

Включив индикатор некоторой области файловой системы, Вы автоматически включаете индикаторы всех областей, содержащихся внутри выбранной. Однако при желании Вы сможете исключить из мониторинга папку или файл, перейдя в режим эксперта.

Например, Вы выбрали для мониторинга диски C: и D:, но не хотите, чтобы была проверена папка D:\public\archives, поскольку уверены, что ее содержимое не содержит вирусов. В этом случае Вы можете включить индикаторы слева от названий дисков C: и D:, а затем, раскрыв в файловой иерархии диск D:, отключить индикатор напротив названия папки D:\public\archives.

Если Вы исключили папку из мониторинга, у всех "родительских" областей файловой системы индикатор с галочкой изменится на индикатор с галочкой и треугольником справа внизу: . Таким способом программой обозначается ситуация, когда одна из областей файловой системы, содержащейся внутри выбранной, проверяется иначе, чем вся область. Вы можете снять различия правил проверки внутри одной области, или, напротив, зафиксировать их надолго.

Каждой из областей файловой системы Вы можете присвоить свои параметры мониторинга. В каждой из выбранной для мониторинга области проверки Вы задаете объекты проверки с помощью дерева настроек правой панели.

Kaspersky AV Inspector- это антивирусная программа-ревизор диска, работающая под управлением операционной системы Microsoft Windows 95/98/ME® или Microsoft Windows NT/2000.

KAV Inspector проверяет диски на наличие изменений содержимого файлов и директорий. Программа может использоваться в качестве вспомогательной антивирусной программы или для контроля за изменениями на диске.

Программа значительно уменьшает время проверки дисков антивирусным сканером KAV, так как после окончания проверки дисков на изменения KAVI может передать на проверку сканеру KAV только новые и измененные файлы.

Ее работа основана на сохранении основных данных о диске в таблице, содержащей образы Master-Boot и Boot-секторов, список номеров сбойных кластеров, схему дерева каталогов и информацию обо всех контролируемых файлах.

При всех этих проверках программа просматривает диск по секторам непосредственно через IOS и не использует стандартные методы (прерывания INT 21h и INT 13h), что позволяет успешно обнаруживать активные маскирующиеся вирусы, находящиеся в памяти и взявшие на себя обработку этих жизненно важных (для компьютера) прерываний.

Кроме того, KAV Inspector запоминает и при каждом запуске проверяет, не изменился ли доступный DOS объем оперативной памяти (что бывает при заражении большинством загрузочных вирусов), а также количество установленных винчестеров.

Основными особенностями KAV Inspector являются:

Обращение к дискам напрямую через драйвер IOS (супервизор ввода-вывода) в обход DOS-резидентов (в частности Boot-вирусов, перехвативших 13h прерывание при загрузке компьютера).

Возможность восстановления загрузочных секторов дисков.

Возможность проверки сетевых и сжатых дисков.

Возможность разбора файловых систем (FAT12, FAT16, VFAT32, NTFS) без использования обращений к функциям операционной системы, работающих с файлами.

Анализ измененных файлов на схожее изменение длины.

Работа с OLE2-документами (документы Word, Excel и Access).

Возможность восстановления исполняемых файлов DOS, Windows 95/98/NT, которая обеспечивается лечащим модулем KAVI Cure Module.

Возможность обнаружения активных Stelth-вирусов.

Данная программа работает на принципе всех подобных ему программ ревизоров. Но в связи с архитектурными особенностями Microsort Windows, KAV Inspector не производит проверку:

отладочных регистров; размера доступной DOS-памяти.

Все прочие возможности программы реализуются при работе в Microsort Windows в полном объеме.

Все зафиксированные изменения дисковых файлов и секторов анализируются и разделяются на две категории: "безобидные" и "подозрительные". К "безобидным" относится, например, изменение содержимого файлов, если при этом изменилась дата и время создания файла.

В любом случае KAVI предоставляет подробную информацию обо всех изменениях, которую можно просмотреть в режиме диалога, а также сохраняет список изменений на диск в виде текстового файла. В случае "подозрительных" изменений KAV Inspector предупреждает о возможности заражения вирусом.

К "подозрительным" изменениям относятся: изменение содержимого файла без изменения его даты и времени последней модификации (это характерно для большинства файловых вирусов); длины разных файлов изменились на близкую величину; некорректные дата или время последней модификации файла: число больше 31, месяц больше 12 или год больше текущего, минуты больше 59, часов больше 23 или секунд больше 59 (такими приемами некоторые вирусы "помечают" зараженные файлы); изменение файла, имя которого указано в списке неизменяемых файлов; изменения, характерные для вирусов, поражающих ядро DOS (файлы IO.SYS, IBMBIO.BIN…).

Непосредственно под заголовком главного окна программы расположена строка меню. Все действия, доступные при работе с программой могут быть инициированы выбором одного из пунктов меню.

Сохранить профиль по умолчанию - Сделать текущий профиль профилем по умолчанию

Загрузить профиль - Загрузить один из ранее сохраненных профилей

Сохранить профиль - Сохранить выбранные настройки проверки как профиль

Сохранить профиль как -Сохранить текущий профиль под новым именем

Выход- Выйти из программы

Сканирование- Начать Запустить процедуру проверки

Остановить-Остановить процедуру проверки

Приостановить - Временно приостановить процедуру проверки

Таблицы - Создать таблицу для реестра Создать новую таблицу реестра

Создать таблицы для дисков-Создать новую таблицу диска

Сервис- Показать отчет - Просмотреть отчет о результатах предыдущей проверки

Справка- Содержание- Открыть систему помощи

О программе - Вызвать окно, содержащее информацию о разработчиках, номер версии программы и Ваши регистрационные данные. Программа имеет множество недоработок, и появляются часто сообщения об ошибках:

«Невозможно выделение памяти» Это сообщение может появиться, если программе KAV Inspector не хватило памяти для выполнения какой-либо операции.

"Не могу открыть KAVITABX.DAT" где X буква диска. На самом деле здесь имеется в виду отсутствие возможности открыть файл таблиц, и имя может не совпадать с KAVITABX.DAT (имя файла можно изменить при инсталляции или в диалоге конфигурации).

Это сообщение может возникнуть по ряду причин.

Например, на диске никогда не создавались таблицы KAVI. Для устранения проблемы необходимо создать таблицы.

Проверьте в установках имя таблиц, которое Вы выбрали. Если Вы изменили имя файла таблиц, то проверьте, сохранилось ли это имя, и пересоздайте таблицы.

"Файл таблиц KAVITABX.Dat уже существует. Переписать таблицы?" Такое сообщение возможно при попытке создания таблиц для диска, на котором уже есть файл таблиц. Имя файла таблиц может не совпадать с KAVITABX.DAT.

"Файл KAVITab.Dat на Вашем диске не совместим с текущей версией KAV Inspector. Пожалуйста, создайте новый файл таблиц" Такое сообщение может появиться после обновления версии KAV Inspector, так как в новых версиях KAVI возможно изменение формата файлов таблиц (это связано с тем, что KAV Inspector в дальнейшем будет распознавать все новые форматы файлов). В этом случае Вам следует пересоздать файл таблиц.

"Ошибка CRC файла таблиц! Будьте осторожны, проверяя диск X. Работа KAV Inspector может быть нарушена!" KAV Inspector перед началом проверок проверяет целостность файла таблиц и если обнаруживаются изменения (иначе говоря, таблица была умышленно или неумышленно модифицирована), то выдается соответствующее сообщение. Будьте внимательны и при выдаче данного сообщения постарайтесь узнать причину изменения файла таблиц. Рекомендуется пересоздать таблицы для этого диска: это может помочь в устранении этой ошибки.

"Не могу создать файл отчета" и "Ошибка записи протокола" Эти сообщения возникают, если неправильно задано имя файла для записи протокола проверки или при попытке записи протокола на защищенную от записи дискету. Возможно, на диске не хватило места для записи протокола.

"Ошибка записи таблиц" Это сообщение возникает при попытке записи таблиц на защищенную от записи дискету или при нехватке места на диске для записи таблиц.

"Ошибка чтения на диске X:" Это сообщение возникает, если в процессе проверки диска программа не смогла прочитать сектор диска. Повторите запуск программы и, если ситуация повторится, проверьте Ваш жесткий диск.

"Слишком много каталогов на диске!" Такое сообщение выдается, если не хватает оперативной памяти для размещения служебной информации KAVI. При проверке диска для обеспечения высокой скорости работы KAVI строит в памяти таблицы, описывающие структуру диска. Объем этих таблиц ограничен только размером оперативной памяти Вашего компьютера.

"Слишком много файлов на диске!" Такое сообщение выдается, если не хватает оперативной памяти для размещения служебной информации KAVI. Если вы получили это сообщение, уменьшите количество контролируемых расширений имен файлов в списке.

Запуск программы обновления

Существует несколько способов запуска программы обновления, а именно:

запуск из главного меню Windows;

автоматический запуск из Kaspersky AV Control Centre;;

запуск программы из командной строки;

запуск из других приложений пакета Антивирус Касперского.

Для запуска программы обновления из главного меню Windows перейдите в меню “Пуск” (“Start”), далее перейдите в подменю “Программы” (“Programs”), а затем в группе “Kaspersky Anti-Virus” запустите пункт “Kaspersky Anti-Virus Updater”.

Если Вы установили Kaspersky AV Control Centre, то можно создать задачу для автоматического запуска программы обновления.

Можно также запустить программу обновления из командной строки. Для этого перейдите в общую папку Антивируса Касперского, а затем запустите файл avpupd.exe. Общая папка может, например, располагаться по следующему пути: “ C:\Program Files\Common Files\KAV Shared Files”.

Если Вам потребовалось изменить заданные по умолчанию настройки, Вы можете сделать это в окне “Подключение”.

Окно Подключение позволяет задать способ и предмет обновления. Поясним назначение каждого пункта на первом уровне дерева настроек:

Обновлять через Internet – произвести обновление через Internet.

Обновлять из локальной папки – произвести обновление из локальной папки.

Обновлять антивирусные базы – обновить антивирусные базы данных.

Обновлять исполняемые файлы – обновить исполняемые модули пакета Антивирус Касперского.

Перезагрузить компьютер (если потребуется) – перезагрузить компьютер, если это будет необходимо после обновления исполняемых модулей программного комплекса.

После настройки параметров в данном окне нажмите на кнопку «Далее».

В самой нижней части дерева настроек окна "Подключение" располагаются три опции, а именно:

Обновить антивирусные базы – копировать и установить с сервера обновлений антивирусные базы данных;

Обновить исполняемые файлы – копировать и установить с сервера обновлений исполняемые модули. Перезагрузить компьютер (если потребуется) - автоматически перезагрузить (при необходимости) компьютер после установки обновления программного обеспечения.

Окно “Получение обновлений” появляется лишь в том случае, если в окне “Параметры” в элементе “Дополнительно” Вы установили флажок “Показывать окно выполнения”.

Окно “Получение обновлений” состоит из четырех частей, показывающих стадии выполнения процесса обновления антивирусных баз:

Соединение с сервером – соединение с сервером, с которого будет осуществляться копирование файлов;

Загрузка файла… - копирование файлов с сервера на компьютер (сверху отображается имя копируемого файла, а снизу – процент выполнения процесса обновления);

Установка файла… - установка файлов на компьютер (сверху отображается название устанавливаемого файла, а снизу степень выполнения операции);

Разрыв соединения… - окончание сеанса связи.

Слева от названия стадии располагается значок, отображающий степень выполнения (отсутствие значка означает то, что программа обновления еще не дошла до выполнения этой части процесса). Значок указывает на успешное окончание данной части процесса, а значок указывает на то, что программа обновления выполняет эту часть процесса в данное время. В Антивирус Касперского™ Personal Pro интегрирован модуль Office Guard, который

постоянно держит под полным контролем выполнение макросов, пресекая все

подозрительные действия. Уникальная технология поведенческого блокиратора, положенная

в основу Office Guard, дает 100% гарантию от действия макро-вирусов, не оставляя им ни

единого шанса нанести документам какой-либо вред.

Надежный контроль целостности данных

Интегрированный в Антивирус Касперского™ Personal Pro ревизор Inspector отслеживает все

изменения, происходящие на Вашем компьютере. При обнаружении вирусной активности

(несанкционированных изменений в файлах или системном реестре) программа позволяет

восстановить оригинальное содержимое диска и удалить вредоносные коды. Inspector не

требует обновлений антивирусной базы: контроль целостности осуществляется на основе

снятия оригинальных отпечатков файлов (CRC-сумм) и их последующего сравнения с

измененными файлами. В отличие от других ревизоров, Inspector поддерживает все

наиболее популярные форматы исполняемых файлов. Это дает увеличение

производительности до пяти раз при сохранении высочайшей степени надежности.

Защита от неизвестных вирусов

В Антивирус Касперского™ Personal Pro интегрирована уникальная технология поиска

неизвестных вирусов, основанная на принципах эвристического анализа второго поколения.

Благодаря ей программа способна защитить Ваш компьютер даже от неизвестных вирусов.

Высочайшая эффективность Антивируса Касперского™ подтверждается тем, что он стал

единственным в мире, кто отразил атаки всех разновидностей вируса "ILOVEYOU" без

каких-либо дополнительных обновлений антивирусной базы.

Эффективная защита в масштабе реального времени

Уникальный фоновый перехватчик вирусов Monitor постоянно присутствует в памяти Вашего компьютера и проводит антивирусную проверку всех файлов, непосредственно в момент их запуска, создания или копирования. В отличие от других перехватчиков, Monitor интегрируется на самый глубокий уровень операционной системы. Это позволяет программе полностью контролировать абсолютно все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами.

Постоянная антивирусная фильтрация электронной почты Антивирус Касперского Personal Pro в масштабе реального времени автоматически проверяет все входящие и исходящие сообщения электронной почты и предотвращает возможность проникновения на компьютер вирусов. Благодаря поддержке широкого спектра форматов почтовых баз (MS Outlook, MS Outlook Express, MS Exchange Client, Eudora, MS Mail, Pegasus Mail, Netscape Mail, JSMail, MIME), программа также надежно защищает места хранения почтовых сообщений, а также позволяет эффективно удалять вирусы из почтовой корреспонденции таких почтовых систем как MS Outlook Express. Встраиваемый модуль Mail Checker не только удаляет вирусы из тела письма, но и полностью восстанавливает

оригинальное содержимое электронных писем. Комплексная проверка почтовой корреспонденции Антивирус Касперского Personal Pro не даст вирусу возможности укрыться ни в одном из элементов электронного письма. Программа автоматически проверяет все участки входящих и исходящих сообщений, включая прикрепленные файлы (в т.ч. архивированные и

упакованные) и другие сообщения любого уровня вложенности, внедренные OLE объекты и само тело письма.

DR.WEB

Антивирусные программы семейства Dr.Web выполняют поиск и удаление известных программе вирусов из памяти и с дисков компьютера, а так же осуществляют эвристический анализ файлов и системных областей дисков компьютера. Эвристический анализ позволяет с высокой степенью вероятности обнаруживать новые, ранее неизвестные компьютерные вирусы.

Семейство программ Doctor Web можно разделить на 2 класса.

К первому классу следует отнести 16-битную антивирусную программу Dr.Web для DOS. Данная антивирусная программа выпускается с 1994 года и уже устарела.

Ко второму классу относится выпущенное в 1999 году новое поколение 32-битных антивирусных программ (DrWeb32). Оно включает в себя набор программ для Windows 95-XP, DOS/386, OS/2 и Novell NetWare, к которым несколько позже присоединились программы для Linux, FreeBSD и Solaris x86.

В комплект программ для Windows 95-XP входит полифаг Dr.Web и резидентный сторож SpIDer Guard.

Программа-полифаг обнаруживает и удаляет фиксированный набор известных вирусов в памяти, файлах и системных областях дисков компьютера.

Резидентный сторож (называемый также монитором), находясь в памяти компьютера, постоянно контролирует вирусоподобные ситуации, производимые различными программами с диском и памятью.

Начиная с версии 4.20 в комплект программ входит Планировщик Dr.Web, позволяющий производить запуск антивирусных программ и проверку устройств хранения информации по графику, задаваемому пользователем.

Антивирусные программы семейства Dr.Web для DOS, DOS/386, OS2 и Novell NetWare являются полифагами. В составе программ для Linux и FreeBSD присутствуют как полифаги, так и демоны.( Демон DrWebD может использоваться практически в любых схемах обработки данных в качестве подключаемого внешнего антивирусного фильтра. Например, почтовые системы (такие как sendmail, qmail и др.) могут быть достаточно легко и гибко настроены на использование демона DrWebD для проверки проходящих через почтовый сервер сообщений e-mail.)

Антивирусные 32-битные программы полифаги нового поколения Dr.Web функционально очень похожи на традиционный 16-битный Dr.Web для DOS. Еще в версии 4.0 16-битной программы Dr.Web основная вирусная база была выделена в отдельный файл и подгружалась после старта программы аналогично файлам-дополнениям, что позволило решить проблему нехватки основной памяти. В DrWeb32 произошло разделение программы на оболочку, ориентированную на работу в конкретной среде, и ядро, не зависящее от среды. Подобная организация антивирусных программ позволила:

- использовать единые файлы вирусных баз вне зависимости от типа используемой операционной системы: DOS, Windows 95-XP, OS/2, Novell Netware, Linux, FreeBSD и Solaris (именно такая совместимость обусловила одинаковую нумерацию версий для различных платформ);

- подключать ядро к различным оболочкам и приложениям, что дает возможность простой интеграции антивирусной проверки со многими прикладными задачами;

- реализовать механизм автоматического пополнения вирусных баз и обновления версий оболочки и ядра через сеть Интернет.

Программа представляет собой классический полифаг и предназначена для использования в 32-битных операционных системах семейства Windows (т.е. Windows 95/98/2000/ME/XP, а также Windows NT 4.0 и выше). Программа производит сканирование файлов и системных областей дисков компьютера на наличие в них компьютерных вирусов и, при нахождении последних, производит их лечение.

В основном окне программы задаются объекты тестирования и действия, которые необходимо осуществлять над ними. После завершения проверки в главном окне отображаются результаты работы программы или статистика всех проведенных проверок за данный сеанс работы . Кроме этого, из главного окна доступны все дополнительные функции и настройки программы через систему меню и кнопки быстрого доступа.

Большинство элементов основного окна снабжены всплывающими короткими подсказками (hints), появляющимися при совмещении указателя мышки с соответствующим элементом окна. При этом нажатие правой кнопки мышки осуществляет доступ к расширенному контекстному файлу помощи.

Для проверки объектов на наличие вирусов необходимо выбрать устройства или их часть (каталоги, файлы), которые будет проверять Dr.Web.

Выбранные объекты для проверки могут быть запомнены для последующего использования в качестве списка проверяемых объектов по умолчанию. Для этого служат кнопки, объединенные в функциональную группу Выбранные пути. С помощью кнопки Сохранить можно установить текущий список объектов в качестве списка проверки по умолчанию. При следующем запуске DrWeb тот же набор объектов будет выделен для проверки.

Кнопка Восстановить позволяет вызвать сохраненный набор по умолчанию в любой момент времени.

Кнопка Очистить очищает список объектов для проверки.

Запуск проверки осуществляется с помощью кнопки, расположенной в нижней правой части основного окна. Кнопка может находиться в одном из трех состояний:

Нет выбранных объектов для проверки или идет проверка памяти, неактивна;

Запуск процесса поиска вирусов;

Остановка процесса поиска вирусов.

Для непосредственного задания пути к проверяемому объекту доступно окно прямого ввода, вызываемое нажатием правой кнопки мышки на панели дерева объектов:

В поле ввода можно ввести полный путь к проверяемому объекту и маску (например C:\Мои документы\*.doc - проверка всех документов Microsoft Word в каталоге Мои документы). С помощью кнопки - Просмотр можно ввести путь из окна просмотра, минуя ручной ввод.

По завершению проверки объектов на наличие вирусов в главном окне отображаются результаты тестирования. Объявление в колонке Статус сообщения типа "Возможно <класс вируса>" означает, что произошло срабатывание эвристического анализатора, обнаружившего подозрительные действия анализируемой программы. Это не является признаком наличия известного Dr.Web вируса, который отображается явным определением имени вируса в колонке Статус, однако предупреждает пользователя о _возможном_ наличии неизвестного вируса в объекте.

В случае, если в настройках программы установлена опция "Информировать" пользователя о наличии или подозрении на наличие вируса, после окончания тестирования колонка Действие будет пустой, поскольку Вы не "заказали" иных действий программы, кроме выдачи информации. Вы можете принять решение о выполнении каких-либо действий самостоятельно, выделив в таблице строчку с нужным объектом и нажав правую кнопку мышки. В появившемся меню можно выбрать необходимые действия над выделенным объектом.

При работе с программой можете использовать следующие комбинации клавиш для быстрого вызова функций программы:

F1 - вызвать контекстную помощь;

F2 - переключится в список отчета;

Ctrl-F2 - очистить список отчета;

F3 - переключиться в дерево дисков;

F4 - переключиться в окно статистики;

Ctrl-F5 - начать проверку;

Ctrl-F6 - остановить проверку;

F5 - проверить путь;

F6 - проверить память;

F8 - запустить обновление через Интернет;

F9 - изменить настройки программы

Alt-X - выйти из программы.

Dr.Web для Windows выпущена в двух вариантах: с графическим интерфейсом (DrWeb32w) и без него (DrWebwcl). Оба варианта поддерживают одинаковый набор параметров (ключей) командной строки. Но для варианта с графическим интерфейсом все настройки могут производиться из диалоговых панелей. Вариант без графического интерфейса требует несколько меньших ресурсов.

Оба варианта программы используют один и тот же конфигурационный файл и одну и ту же группу настроек в этом файле, что дает возможность попеременного использования данных программ с настройкой требуемых режимов наиболее удобным способом.

В Dr.Web для Windows 95-XP предусмотрена поддержка режима совместной работы с 16-ти битными версиями ревизора дисков ADinf для DOS и 32-битными версиями ревизора дисков ADinf (ADinf32). Программы Dr.Web (версии 4.xx) поставляются с внешней вирусной базой.

Внешняя вирусная база состоит из файла основной вирусной базы (файл DRWEBASE.VDB),

а также из файлов дополнительных вирусных баз. Имена файлов дополнительных вирусных

баз имеют вид DRWvvvnn.VDB, где vvv - номер версии Dr.Web , для которой выпущена

дополнительная вирусная база, а nn - порядковый номер дополнительной вирусной базы в

ряду выпускавшихся для данной версии Dr.Web.

Файлы внешней вирусной базы защищены с использованием специальных алгоритмов,

разработанных фирмой "ЛАН-Крипто".

При загрузке вирусной базы Dr.Web автоматически проверяет ее целостность. Используемые алгоритмы защиты позволяют обнаруживать любые нарушения целостности файлов вирусных баз и тем самым, в частности, полностью исключают возможность незаметного злонамеренного взлома или подделки вирусных баз.

В процессе завершения сеанса работы в MS Windows 95/98 (ShutDown) SpIDer выполняет

проверку загрузочного дисковода (A:), так как в случае, если в дисководе окажется

зараженная загрузочным вирусом дискета, то это может представлять опасность при

следующей перезагрузке системы.

Dr.Web для DOS/386 (command line) 32-битное приложение для DOS версии 3.30 или выше, работающее в режиме командной строки. DrWeb386 функционально очень похож на традиционный DrWeb для DOS и существенно отличается от него тем, что может работать под DOS только на процессорах 386 и выше, а управляется только ключами из командной строки. В то же время, новая программа обладает следующими преимуществами:

- практически отсутствуют ограничения на требуемый объем свободной основной памяти

(conventional memory) - программа работает при менее чем 200Кб свободной памяти;

- нет ограничений на поддержку архивов, созданных с использованием современных,

требующих больших объемов оперативной памяти методов архивации - RAR 2.00 и др.;

- более высокая скорость работы - от 15-20% при оптимальной настройке 16-битной версии

до 300% (и выше) при определенных неудачных для 16-битной версии условиях.

Использование DrWeb386 рекомендуется для антивирусной проверки компьютера под DOS,

до загрузки Windows.

Описанная программа не столь информативна, красочна и функциональна. По сравнению с антивирусом Касперского она не обладает столь многими функциями, даже антивирусные базы отличаются очень сильно, не в пользу Dr.Web.

Panda Antivirus Titanium

Следующая рассмотренная мною программа антивирус Panda Antivirus. Программа оснащена довольно красочным интерфейсом, но очень непонятным и запутанным. Только в открытом третьем окне появляется предложение проверить систему на вирусы. К тому же данная программа конфликтует с Dr.Web, т.е. устанавливается или одна или другая программа, но не как все вместе. А с антивирусом Касперского тоже отношения сложные постоянно они находят друг у друга вирусы. В связи со всеми этими сложностями я ограничусь описанием, предложенным в Help. Panda Antivirus Titanium – новая антивирусная программа, технологически передовая почти во всех аспектах: новый интерфейс, новый сверхбыстрый механизм сканирования, новый механизм автоматического обновления... Теперь еще и поддержка WINDOWS XP.

Существует множество параметров, которые выделяют Panda Antivirus среди других антивирусных программ и делают его универсальным средством защиты Вашего

компьютера.

Характеристика:

Способен быстро найти и обезвредить все известные типы вирусов.

Прост в использовании: работает по принципу "установил и забыл". С этим пунктом я не согласен.

Полное автоматическое обновление для защиты от новых вирусов (не столь экзотично).

Оптимальная антивирусная технология для пользования электронной почты и работы в Internet.

Новый сверхбыстрый механизм поиска вирусов UltraFast: максимальная скорость,

минимальное использование ресурсов. Уникальная технология SmartClean восстанавливает ущерб, нанесенный вирусами.

Гарантированная защита: мировые стандарты качества.

Быстрый поиск и обезвреживание любого типа вирусов

Panda Antivirus Titanium способен найти и обезвредить более 63.000 известных вирусов

любых типов (полиморфные, загрузочные, файловые, Макро и т.д.) и другие вредоносные

коды: Троянские кони, черви, вредоносные элементы ActiveX и Java скрипты. Такое количество известных вирусов настораживает, т.е. бытует мнение, что это только на словах, а на самом деле известных вирусов гораздо меньше.

Кроме того, благодаря своей передовой эвристической технологии, он чрезвычайно

эффективен против неизвестных вирусов, которые могут появиться в будущем.

Прост в использовании: установил и забыл. После установки Panda Antivirus Titanium начинает работать автоматически, проверяя при этом всю входящую и исходящую информацию Вашего компьютера на вирусы.

В новом Panda Antivirus Titanium реализован необычайно непростой интерфейс: неудобный в использовании с автоматическими обновлениями и отчетами о

проведенных проверках.

Полностью автоматические обновления защищают от новых вирусов

Panda Antivirus Titanium обновляется быстро и незаметно для Вас. Каждый раз, когда Вы

соединяетесь с Internet, программа автоматически будет забирать из сети самые последние

обновления против новых вирусов, появившихся с момента Вашего последнего соединения.

Процесс пройдет быстро и Вам не придется отвлекаться от работы!

Оптимальная антивирусная технология для Internet и e-mail

Используемая в Titanium технология для Internet и e-mail обезвреживает вирусы еще до того, как пользователь открывает зараженное письмо, поэтому вирус не успевает попасть на компьютер.

Panda Software первой начала проверять вирусы непосредственно в ящике, не переписывая файлы на жесткий диск. Сегодня Panda Antivirus Titanium также применяет эту революционную технологию уничтожения вирусов. Таким образом, улучшается скорость и эффективность работы.

Titanium совместим с наиболее широко используемыми на рынке почтовыми клиентами:

Microsoft OutlookR, Outlook ExpressR, EudoraR, PegasusR, MSN MailR, Netscape MailR.

Новый механизм проверки UltraFast

Количество информации, проверяемой антивирусом в заданный промежуток времени,

зависит от механизма проверки. Быстрый механизм проверки (килобайты в секунду)

уменьшает влияние на другие системные операции: получение почты, копирование файлов и т.д.

Новый механизм UltraFast - ядро всей программы Panda Antivirus Titanium. Он настолько

усовершенствован, что сегодня является, возможно, самым быстрым из представленных на рынке антивирусного ПО. Механизм проверяет всю информацию на вашем компьютере, при этом минимально используя системные ресурсы! Вы надежно защищены и можете не обращать внимания на работу антивируса. Уникальная технология SmartClean

Новые вирусы и черви (такие, как I Love You, Anna Kournikova и т.д.) используют сложные процедуры проникновения в ПК, которые не только заражают файлы, но и могут изменять свойства операционной системы.

Обычные антивирусные программы не могут устранить эти потенциально опасные

изменения. С новой технологией SmartClean эти проблемы решаются автоматически, без Вашего участия. Благодаря уникальной технологии SmartClean, Panda Antivirus Titanium эффективно справляется с этой опасной ситуацией, восстанавливая работоспособность и корректные параметры в случае их повреждения рядом наиболее распространенных вирусов.

Технологии и антивирусные продукты Panda Software награждены сертификатами качества наиболее престижных ИТ изданий, таких как: Virus Bulletin, Международной Ассоциацией Компьютерной Безопасности (ICSA) и CheckMark. Многоплатформенная поддержка

Panda Antivirus Titanium - продукт для несетевых компьютеров с операционными системами: Windows XP, Windows 2000 Pro, Windows Me, Windows 98, Windows 95.