Первая ласточка - вирус WinWord.Concept

Вирус WinWord.Concept никак не маскирует свое присутствие. Наоборот, он создан таким образом, чтобы облегчить свое обнаружение и анализ. Макрокоманды вируса WinWord.Concept не закрыты от чтения и их очень легко проанализировать. Мы получили этот вирус в АО “ДиалогНаука” и самостоятельно провели такой анализ. Вирус состоит из пяти макрокоманд, общий объем которых составляет примерно 110 строк на языке WordBasic. В добавок к этому автор вируса снабдил его комментариями.

Когда пользователь открывает зараженный файл документа, Microsoft Word for Windows автоматически выполняет содержащуюся в нем макрокоманду AutoOpen. Эта макрокоманда принадлежит вирусу. Она просматривает названия всех макрокоманд, определенных в файле стилей NORMAL.DOT. Если среди них обнаружена макрокоманда PayLoad, считается, что файл стилей уже заражен. Если присутствует макрокоманда FileSaveAs, вирус также не будет устанавливаться. Видимо автор посчитал, что в этом случае нужно слишком много возиться.

Если просмотрен весь список макрокоманд и среди них не обнаружены ни макрокоманды PayLoad, ни FileSaveAs, вирус копирует в файл стилей NORMAL.DOT макрокоманды PayLoad, FileSaveAs, AAAZFS и AAAZAO.

После копирования макрокоманд вирус добавляет в файл конфигурации WINWORD6.INI текстового процессора параметр WW6I:

WW6I=1

В конце выполнения вирусной макрокоманды AutoOpen вирус отображает на экране временную диалоговую панель. На этом установка вируса считается оконченной и вы увидите в окне редактирования текстового процессора открытый документ.

Заражение документов происходит, когда пользователь сохраняет их при помощи команды "Save As".  В этом случае выполняется макрокоманда вируса FileSaveAs. Она отображает на экране обычную диалоговую панель "Save As".

Пользователь вводит в этой диалоговой панели имя файла документа, под которым он будет сохранен. Заметим, что обычно документ сохраняется в формате “Word Document” (формат указывается в поле “Save File as Type”). В принципе, документ можно сохранить и в других форматах, например, в обычном текстовом формате или в формате RIF (Rich-Text Format).

Если пользователь сохраняет документ в формате документов текстового процессора Microsoft Word for Windows (формат “Word Document”), тогда вирус изменяет формат сохраняемого документа. Вместо того чтобы сохранить документ в формате документов текстового процессора Microsoft Word for Windows, он сохраняет его в формате файла стилей, предварительно записав в него макрокоманды AutoOpen, AAAZAO, AAAZFS и PayLoad.

Таким образом, WinWord.Concept незаметно изменяет формат документа, сохраняя его на диске как файл стилей. Внешне такой файл практически не отличается от обыкновенного файла документа. Он также имеет расширение DOC, а при загрузке в текстовый процессор вы увидите набранный вами текст.

Никаких дополнительный действий вирус WinWord.Concept не выполняет. В макрокоманду PayLoad, которая могла быть использована для этого, автор включил только один комментарий:

Sub MAIN

                REM That’s enough to prove my point

End Sub

Но за счет того, что зараженный документ сохраняется в формате файла стилей, текстовый процессор не позволит вам сохранить его в другом формате. Когда вы выберете из меню File строку Save As, на экране появится диалоговая панель Save As, но поле выбора типа документа - “Save File as Type” будет показано серым цветом и недоступно для изменения.

Плохие программы

К сожалению, не только вирусы мешают нормальной работе компьютера и его программному обеспечению. Принято выделять еще, по крайней мере, три вида вредоносных программ. К ним относятся программы-черви, троянские программы и логические бомбы. Четкого разделения на эти виды не существует, троянские программы могут содержать вирусы, в вирусы могут быть встроены логические бомбы и т. д.

Подготовка к вирусной атаке

Пользователи компьютеров должны заблаговременно подготовиться к возможной атаке вирусов, а не ждать до последней минуты, когда вирус уже появится. Благодаря этому вы сможете быстрее обнаружить вирус и удалить его.

В чем же должна заключаться такая подготовка?

¨     Заранее подготовьте системную дискету. Запишите на нее антивирусные программы-полифаги, например Aidstest и Doctor Web

¨     Постоянно обновляйте версии антивирусных программ, записанных на системной дискете

¨     Периодически проверяйте компьютер при помощи различных антивирусных средств. Контролируйте все изменения на диске с помощью программы-ревизора, например ADinf. Новые и изменившиеся файлы проверяйте программами-полифагами Aidstest и Doctor Web

¨     Проверяйте все дискеты перед использованием. Для проверки применяйте как можно более поздние версии антивирусных программ

¨     Проверяйте все выполнимые файлы, записываемые на компьютер

¨     Если вам нужен высокий уровень защиты от вирусов, установите в компьютере аппаратный контроллер защиты, например Sheriff. Совместное использование аппаратного контроллера и традиционных антивирусных средств позволят максимально обезопасить вашу систему

Поиск и восстановление файлов

В этом разделе мы приведем некоторые рекомендации, направленные на восстановление файлов, доступ к которым стал невозможен из-за вредоносного действия вирусов или в результате разрушения файловой системы по любой другой причине. В любом случае перед началом восстановительных работ следует провести полное исследование файловой системы с использованием методики, изложенной в предыдущей части этой главы.

Необходимо также убедиться, что вы хорошо владеете структурой файловой системы и знаете форматы всех ее компонент, таких как таблица разделов, таблица логических дисков, таблица размещения файлов FAT и т. д. В тяжелых случаях мы рекомендуем обращаться к специалистам, например, из скорой компьютерной помощи АО “ДиалогНаука”.

Многие повреждения файловой системы можно восстановить в автоматическом режиме при помощи программы Norton Disk Doctor. Однако эта весьма неплохая программа в некоторых случаях не сможет оказать вам существенной помощи. Поэтому вы должны владеть хотя бы основными приемами ручного восстановления файловой системы.

Если в процессе исследования файловой системы вы обнаружили, что некоторые структуры оказались полностью разрушены (например, главная загрузочная запись с таблицей разделов, таблица логических дисков, каталоги и т. д.), еще не все потеряно. Многое можно восстановить с помощью таких программ, как Norton Disk Doctor или Norton Disk Editor.

Основная идея поиска потерянных файлов и структур данных заключается в том, что вы знаете (хотя бы приблизительно) их содержимое.

Например, секторы, содержащие таблицу разделов, таблицу логических дисков и загрузочную запись имеют сигнатуру 0AA55h. Из предыдущих разделов этой главы вы знаете, что программы начальной загрузки содержат в своем теле текстовые строки, которые также можно использовать для поиска. В теле расширенного блока параметров BIOS Extended PBP имеются текстовые строки FAT12 или FAT16, которые также можно использовать для поиска.

Если вы знаете характерные слова или последовательности байт, встречающиеся в потерянных файлах данных, их тоже можно использовать для восстановления.

Секторы, содержащие дескрипторы каталогов, можно обнаружить, зная имена описанных в нем файлов.

Поиск с помощью программы DISKEDIT

По сревнению с описанной в предыдущем разделе программой Find File программа DISKEDIT.EXE предоставляет намного больше возможностей для поиска файлов, а также различных структур файловой системы.

Обратите внимание на меню Tools программы DISKEDIT.EXE (рис. 6.38).

Рис. 6.38. Меню Tools программы DISKEDIT.EXE открывает доступ к набору инструментальных средств для работы с файловой системой

Если выбрать из этого меню строку Find, на экране появится диалоговая панель, показанная на рис. 6.39.

Рис. 6.39. Диалоговая панель Enter search text, предоставляющая широкие возможности контекстного поиска

С помощью этой диалоговой панели вы сможете выполнять контекстный поиск строк, заданных как смивольным, так и шестнадцатиричным представлением. Дополнительно можно указать смещение сектора и выбрать режим Ignore Case, при котором сравнение с образцом будет выполняться без учета строчных или прописных букв.

Строка Find Object позволяет выполнить поиск различных структур файловой системы. Если выбрать эту строку, на экране появится меню второго уровня, показанное на рис. 6.40.

Рис. 6.40. Меню, с помощью которого можно выполнить поиск служебных структур файловой системы

Попробуйте все это в действии. Для этого откройте меню Object и выберите из него строку Physical Sector. Затем укажите самый первый сектор, расположенный на нулевой дорожке. Этот сектор должен содержать главную загрузочную запись MBR. Перейдите в режим неформатированного просмотра, выбрав из меню View строку as Hex.

Теперь выберите из меню Tools строку Find Object и затем строку FAT. Программа DISKEDIT.EXE выполнит поиск первой копии таблицы размещения файлов FAT и отображит ее дамп, выделив в этом дампе первые три байта, как это показано на рис. 6.41.

Рис. 6.41. Программа DISKEDIT.EXE нашла первую копию таблицы размещения файлов FAT

Если теперь сместить текстовый курсор вниз или нажать клавишу <PgDn>, а затем выбрать из меню Tools/Find Object строку FAT еще раз, будет найдена вторая копия таблицы размещения файлов FAT.

Учтите, что поиск таблиц FAT в данном случае сводится к поиску последовательности байт F8 FF FF, поэтому выполнив поиск в третий раз, вы сможете найти еще одну, ненастоящую “таблицу FAT”. Дело в том, что наверняка на диске найдется какой-нибудь файл, содержащий указанную выше последовательность байт, поэтому будьте внимательны.

Если взглянув на главную загрузочную запись вы увидели, что таблица разделов разрушена или зашифрована, можно выполнить контекстный поиск секторов загрузочных записей, содержащих блоки параметров BIOS BPB. Проще всего это сделать, если после просмотра главной загрузочной записи по ее физическому адресу и перехода к следующему сектору диска выбрать из меню Tools/Find Object строку Partition/Boot.

Программа DISKEDIT.EXE найдет сектор, содержащий в конце последовательность байт 55 AA, которая соответствует сигнатуре загрузочного сектора 0AA55h (рис. 6.42).



Рис. 6.42. Найден загрузочный сектор

После того как вы нашли загрузочный сектор, его физический адрес можно вручную подставить в таблицу разделов, отредактировав ее программой DISKEDIT.EXE. О том как выполнить редактирование, вы можете узнать из документации, которая поставляется с набором утилит Нортона.

Так как структура разделов диска в процессе эксплуатации последнего может многократно изменяться, не исключено что вы найдете слишком много загрузочных секторов. Некоторые из них принадлежали старым разделам и не были уничтожены при изменении структуры разделов, некоторые вообще могут принадлежать другим операционным системам. В любом случае проверяйте расположение найденного загрузочного сектора относительно других найденных вами логических структур файловой системы. Например, вы можете использовать для “опознания” тот факт, что сразу после загрузочного сектора должна следовать таблица размещения файлов.

Так как в процессе поиска программа DISKEDIT.EXE проверяет только последние два байта сектора, возможны ложные срабатывания. На рис. 6.43 показана как раз такая ситуация.



Рис. 6.43.


При поиске загрузочного сектора найден сектор, содержащий нужную сигнатуру, который однако, не является загрузочным

Нетрудно заметить, что вслед за найденным располагается сектор, содержимое которого мало похоже на таблицу размещения файлов.

Теперь займамся поиском каталогов, на которые нет ссылок из других каталогов (т. е. потерянных каталогов).

Для поиска вы можете воспользоваться строкой Subdirectory меню Tools/Find Object. Программа DISKEDIT.EXE просматривает секторы диска в поисках такого, в начале которого находится последовательность байт 2E 20 20 20 20 20 20 20 20 20 20 (рис. 6.44). Эта последовательность соответствует дескриптору, который содержит ссылку каталога на себя самого.



Рис. 6.44. Найден сектор, принадлежащий каталогу

Нажимая комбинацию клавиш <Control+G>, вы можете продолжить поиск нужного вам каталога, пока не найдете тот, что содержит интересующие вас файлы. Можно выполнять поиск и по имени файла, если вы его знаете.

Как только нужный каталог найден, вы должны записать физический адрес соответствующего сектора диска и найти либо вычислить номер кластера, соответвтующего каталогу.

Для поиска номера кластера, соответсвующего найденному каталогу, перейдите в режим форматированного просмотра каталога, выбрав из меню View строку as Directory. Затем из меню Link выберите стоку Cluster chain (fat). На экране появится содержимое таблицы FAT в режиме форматированного просмотра, при этом искомый номер кластера будет выделен.

Зная номер кластера потерянного каталога, вы можете создать новый дескриптор каталога, например, в корневом каталоге диска, и сделать в этом дескрипторе ссылку на найденный каталог. После этого потерянный каталог вновь станет доступным.

Аналогично можно вручную восстановить ссылки на потерянные файлы и даже собрать файлы из отдельных кластеров.

Можно предложить следующий алгоритм восстановления файла:

·

выполнить контекстный поиск секторов файла с помощью строки Files из меню Tools, а также последовательным просмотром секторов диска;



·        определить номер кластеров, соответствующего найденным секторам, пользуясь приведенной выше формулой или средствами программы DISKEDIT.EXE;

·        восстановить цепочку номеров кластеров для файла в таблице размещения файлов FAT, отметив в ней последний кластер значением 0FFFFh;

·        создать в любом каталоге (например, в корневом) дескриптор, который описывает файл, указав в нем ссылку на первый кластер восстановленного файла, а также размер этого файла.

Если вы восстанавили файл документа, созданный текстовым процессором Microsoft Word for Windows или процессором таблиц Microsoft Excel, загрузите его в соответсвующее приложение и затем сохраните его под другим именем. При этом будет восстановлена правильная длина файла.

Простой текстовый файл можно загрузить в текстовый редактор и “отрезать” лишние данные в конце файла. Затем сохраните файл под другим именем.

Поиск с помощью программы File Find

Наиболее распространенное повреждение файловой системы возникает при внезапном отключении питания и заключается в появлении так называемых потерянных кластеров. Это повреждение также бывает следствием аппаратного сброса компьютера кнопкой Reset при работающей операционной системе Microsoft Windows.

Потерянные кластеры называются так потому, что на них нет ссылок ни в одном каталоге файловой системы. Например потому, что соответствующий каталог был просто уничтожен и, следовательно, ссылки на описанные в нем файлы исчезли.

Чаще всего для ремонта повреждений такого рода пользователи применяют программу SCANDISK.EXE, входящую в состав операционной системы MS-DOS, или программу NDD.EXE из пакетf Norton Utilities (программа Norton Disk Doctor).

После восстановления файловой системы программой Norton Disk Doctor или SCANDISK.EXE на диске может образоваться громадное количество файлов со специфическим расширением имени (каждая программа восстановления использует свое имя), составленные из цепочек потерянных кластеров. Таких файлов в зависимости от серьезности повреждений файловой системы может быть очень много, до нескольких тысяч.

Если после сбоя или вирусной атаки вы проверили диск одной из перечисленных выше программ, и в результате нужные вам файлы исчезли, существует большая вероятность того что они оказались среди восстановленных. Однако как их найти среди сотен и тысяч других?

Проще всего это сделать, например, с помощью програмы Find File, которую можно запустить из популярной оболочки Norton Commander при помощи комбинации клавиш <Alt+F7> (рис. 6.36).

Рис. 6.36. Поиск файлов по контексту при помощи программы Find File, запущенной из оболочки Norton Commander

В поле File(s) to find вы должны задать шаблон для имени файла и расширения имени, например, *.ndd. Поиск будет выполняться только среди файлов, имя которых удовлетворяет указанному шаблону.

Необходимо также в поле Containing указать шаблон для поиска, т. е. какую-либо текстовую строку, присутствующую в файле. Например, для того чтобы найти все файлы, созданные текстовым процессором Microsoft Word for Windows, вы можете указать шаблон Microsoft Word, а для того чтобы найти все файлы, подготовленные в среде процессора электронных таблиц Microsoft Excel, укажите шаблон Microsoft Excel.

Список путей к найденным файлам отобразится в верхней части окна программы Find File (рис. 6.37).

Рис. 6.37. Программа Find File нашла несколько файлов, содержащих указанный контекст

В дальнейшем, если найденных файлов будет все еще очень много, вы можете переписать их в отдельный каталог и переименовать, а затем продолжить поиск, используя другие строки в качестве контекста.

Описанную процедеру контекстного поиска вы можете использовать и для поиска в файлах документов изсестных вирусов, таких, например, как WinWord.Concept.

Поиск вирусов на дискетах

Все новые дискеты, а также дискеты, которые вы отдавали кому-либо, необходимо проверить на заражение вирусами. Для этого используйте антивирусы-полифаги Aidstest и Doctor Web. Последовательно вызовите сначала одну, а затем другую программы. В следующем примере показано как проверить дискету, вставленную в дисковод A:.

AIDSTEST A: /B

DRWEB A: /CL /AR /HA1 /UP /NM /OF

Поиск вирусов на жестком диске компьютера

В начале проверим все жесткие диски компьютера программой Aidstest. Введите в системном приглашении DOS следующую команду.

AIDSTEST *

Внимательно следите за сообщениями, выдаваемыми программой во время проверки компьютера. Если будет обнаружен вирус, Aidstest сообщит об этом.

Многие вирусы, которые не обнаруживает Aidstest, могут быть пойманы программой Doctor Web. Кроме того, Doctor Web позволяет выполнить эвристический анализ программ и загрузочных секторов. Поэтому повторите проверку с помощью Doctor Web.

DRWEB * /CL /HI /AR /HA1 /RV /UP

Антивирус Doctor Web проверит все жесткие диски компьютера, при этом он выполнит поиск вирусов не только непосредственно в выполнимых файлах, но и в файлах архивов, а также в сжатых выполнимых файлах. Если вирусы будут обнаружены, программа выведет на экран соответствующее сообщение.

Во всех примерах, приведенных в этом разделе, выполняется только поиск вирусов, ни один из обнаруженных вирусов не будет удален. Для этого надо запустить программу-антивирус еще один раз, загрузившись с системной дискеты.

Полифаг Aidstest

Самой популярной антивирусной программой в России вот уже много лет является Aidstest, разработанный в конце 1988 года Лозинским Дмитрием Николаевичем. На момент создания книги вышло уже более 1400 версий программы. Aidstest умеет обнаруживать более 1500 вирусов в загрузочных секторах и выполнимых файлах. В том числе он успешно справляется с вирусами семейства DIR, вызвавшими эпидемию летом 1991 года и появляющимися вновь и вновь до сих пор.

Принципы, заложенные много лет назад в основу программы Aidstest, не позволяют ей обнаруживать и удалять полиморфные вирусы. Поэтому одной программы Aidstest явно недостаточно для обеспечения антивирусной безопасности компьютера. Вы обязательно должны пользоваться другими средствами комплекта. В первую очередь программой-полифагом нового поколения Doctor Web и ревизором ADinf.

Тем не менее, отказываться от Aidstest сегодня еще рано. Существует достаточно много вирусов, которые удаляет Aidstest, но которые не включены в вирусную базу Doctor Web. Возможно в скором времени вирусные базы Aidstest и Doctor Web будут объединены, тогда можно будет ограничиться использованием одной программы.

Полное описание программы Aidstest можно получить из документации. Сейчас мы приведем только самые главные параметры этой программы. Формат вызова Aidstest имеет следующий вид:

AIDSTEST путь

[ключ]...[ключ]

Первый, обязательный, параметр программы путь определяет, какие файлы надо проверить. В качестве этого параметра вы можете указать имя логического диска, путь к каталогу или непосредственно имя файла для проверки. Если необходимо проверить все логические диски компьютера, укажите в качестве параметра путь символ ‘*’. Чтобы кроме логических дисков проверялись сетевые диски, компакт-диски и диски, образованные  командой SUBST, вместо одного символа ‘*’ укажите два.

После параметра путь следуют необязательные параметры, задающие различные режимы работы программы Aidstest. При вводе параметров не следует задавать символы квадратных скобок.
Если вы ошиблись в задании параметров или не указали ни одного параметра, на экран выдается краткое описание программы. Ниже описаны только основные параметры программы.

Параметр	Описание
/E	Если видеоадаптер компьютера не русифицирован, укажите этот параметр. Aidstest будет пользоваться собственными русскими шрифтами
/F	Для лечения зараженных программ и загрузочных секторов укажите Aidstest дополнительный параметр /F. Те программы, которые невозможно восстановить, будут удалены
/G	По умолчанию Aidstest проверяет только выполнимые файлы, имеющие расширения COM, EXE и SYS. Параметр /G позволяет проверить все файлы на дисках компьютера, вне зависимости от их расширений. Если в компьютере обнаружен вирус, рекомендуется выполнить проверку всех файлов
/Q	В режиме лечения компьютера Aidstest удаляет зараженные файлы, которые нельзя восстановить. Чтобы перед удалением файлов у пользователя запрашивалось подтверждение, укажите параметр /Q
/S	Параметр /S необходимо указывать вместе с параметром /F для восстановления файлов, испорченных вирусами семейства DIR, в тех случаях, когда сам вирус отсутствует на диске

Полифаг Doctor Web

Другая антивирусная программа-полифаг, входящая в состав антивирусного комплекта АО “ДиалогНаука”, разработана Даниловым Игорем Анатольевичем. Также как и Aidstest, программа Doctor Web является полифагом, но при этом она основана совершенно на других принципах, благодаря чему позволяет обнаруживать полиморфные вирусы и успешно удалять их. Специальные методы позволяют Doctor Web обрабатывать шифрованные вирусы.

В отличие от большинства антивирусных программ-полифагов, Doctor Web обнаруживает новые, неизвестные вирусы. Для этого применяется эвристический анализатор. Этот анализатор в автоматическом режиме изучает код проверяемых программ и загрузочных записей, пытаясь обнаружить в них участки кода, выполняющие характерные для вирусов действия.

Программа Doctor Web позволяет обнаружить и удалить опасный вирус OneHalf, широко распространившийся в последнее время. При этом Doctor Web восстанавливает зашифрованный вирусом жесткий диск компьютера. В зависимости от объема жесткого диска и того, насколько далеко зашел процесс его шифровки, на восстановление может потребоваться несколько десятков минут. В последнее время появились новые модификации вируса OneHalf, имеющие отличия в процедуре шифрования диска компьютера, поэтому надо использовать самые последние версии Doctor Web

Программа Doctor Web работает как в диалоговом, так и в пакетном режиме. Пакетный режим лучше всего использовать для проверки компьютера во время его загрузки, вызывая Doctor Web из файла AUTOEXEC.BAT. Чтобы Doctor Web начал работать в пакетном режиме, следует задать параметр /CL.

Полную информацию обо всех параметрах и режимах работы программы Doctor Web вы можете прочитать в документации антивирусного пакета АО “ДиалогНаука”. Сейчас мы перечислим только основные параметры программы:

Параметр		Описание
/AL		Проверка всех файлов на заданном диске
/AR		Проверка файлов, находящихся внутри архивов. Обеспечивается проверка архивов, созданных программами-архиваторами ARJ, PKZIP и RAR
/CL		Запуск программы в пакетном режиме
/CU[D][R][P]		Лечение файлов и системных областей дисков, удаление найденных вирусов. Если указан параметр D, тогда инфицированные файлы не лечатся, а просто удаляются с диска компьютера. Вместо удаления инфицированных файлов их можно переименовать. Для этого следует указать параметр R. В этом случае первый символ в расширении имени файла заменяется на символ 'V'. Если указан дополнительный параметр P, тогда перед удалением вирусов запрашивается подтверждение у пользователя
/DA		Проверка компьютера один раз в сутки. Этот режим рекомендуется использовать для запуска программы из файла AUTOEXEC.BAT
/DL		Удаление файлов, восстановление которых невозможно
/FN		Если видеоадаптер компьютера не русифицирован, укажите этот параметр. Doctor Web будет пользоваться собственными русскими шрифтами
/HA[<уровень>]		Эвристический анализ файлов и поиск в них неизвестных вирусов. Существует два уровня анализа: 0 - минимальный, 1 - максимальный. По умолчанию устанавливается минимальный уровень эвристического анализа
/HI		Поиск вирусов в адресном пространстве оперативной памяти от 0 Кбайт до 1088 Кбайт
/RV		Контроль за заражением проверяемых файлов активным резидентным вирусом
/TD<диск>:		Когда Doctor Web проверяет упакованные файлы и файлы архивов, он может создавать временные файлы. Вы можете самостоятельно задать диск, на котором создаются временные файлы, с помощью параметра /TD
/UP[N]		Проверка выполнимых файлов, упакованных программами DIET, PKLITE, LZEXE, EXEPACK, PROTECT, COMPACK, CRYPTCOM, а также файлов, вакцинированных антивирусом CPAV. Чтобы Doctor Web не отображал на экране названия программы архиватора, использованной для упаковки проверяемого файла, укажите дополнительный параметр N

Пользователи сети Novell NetWare и их права

Пользователей сети Novell NetWare можно разделить на обычных, администраторов групп и системных администраторов (супервизоров).

Системный администратор обладает неограниченными правами, в то время как администратор групп может подключать к серверу новых пользователей (или создавать новые группы пользователей). Администратор групп может наделять правами созданные им группы пользователей и отдельных пользователей в рамках прав, предоставленных ему системным администратором. Группы могут объединять любых пользователей, имеющих сходные права доступа к тем или иным сетевым ресурсам.

Именно системный администратор должен определять стратегию распределения прав в сети. При этом, если в сети много пользователей и групп, он может делегировать часть своих прав администраторам групп. На системном администраторе должна лежать и работа по организации защиты сети от вирусов.

Повторное заражение файлов и загрузочных секторов

Большинство вирусов заражают один и тот же файл или загрузочную запись только один раз. Такие вирусы перед заражением нового файла проверяют, не был ли он заражен раньше. В качестве признака, по которому определяется заражение, могут использоваться нестандартное время создания файла (операционная система MS-DOS позволяет устанавливать время создания файла 62 секунды), заведомо неправильная дата создания файла (например 2001 год). Более сложные вирусы определяют факт заражения поиском своей сигнатуры и т. д.

Самые примитивные вирусы могут заражать один файл по нескольку раз. Размер такого файла будет постоянно увеличиваться, значительно сокращая объем доступной дисковой памяти.

Несколько разных вирусов могут заразить один и тот же файл или загрузочную запись. Когда такой файл запускается, то сначала управление получает один вирус, затем другой и наконец выполняется сама зараженная программа.

Вирус Yankee Doodle

Целый ряд вирусов, заражающих выполнимые файлы. Некоторые версии вируса в определенное время исполняют на встроенном динамике компьютера мелодию Yankee Doodle. Интересно, что этот вирус борется с загрузочным вирусом Ball. Он изменяет его код таким образом, что вирус Ball через некоторое время самостоятельно удаляет себя с жесткого диска компьютера.

Правильный выбор порядка загрузки компьютера

Операционная система может быть загружена или с жесткого дисска или с дискеты. Обычно компьютер загружается с жесткого диска, однако если в момент включения питания компьютера или его перезагрузки в дисковод A: вставлена дискета (случайно или нарочно), загрузка операционной системы начнется с нее. Если дискета заражена загрузочным вирусом, он получит управление и сразу попытается заразить жесткий диск компьютера.

Большинство компьютеров позволяют указать приоритет, в котором должна выполняться загрузка операционной системы. Этот порядок устанавливается при помощи программы BIOS Setup. Более подробно о программе BIOS Setup вы прочитаете в разделе “Восстановление файловой системы”.

Чтобы защитить компьютер от случайного заражения загрузочным вирусом, укажите, что операционная система должна загружаться сначала с диска C:, и только в случае его неисправности  - с диска A:.

Если надо загрузить компьютер с дискеты, удостоверьтесь, что на ней нет вирусов. Для этого сначала проверьте ее несколькими антивирусными программами, например программами Doctor Web и Aidstest.

Лучше всего, если вы приготовите системную дискету заранее, а чтобы ее случайно не испортили, установите на ней защиту от записи. На системную дискету полезно записать программы для диагностики компьютера - антивирусные программы, программы проверки целостности файловой системы и исправности аппаратуры компьютера. Как создать системную дискету мы рассказали в разделе “Создание системной дискеты”.

Предоставление доступа к отдельным файлам

Программа FILER.EXE, расположенная в каталоге PUBLIC, позволяет системному администратору устанавливать права доступа к отдельным файлам (рис. 4.12).

Рис. 4.12. Просмотр и изменение атрибута файла

В частности, для защиты файла от нападения вирусов вы можете установить для него атрибут Read Only.

Системные администраторы знают о существовании очень интересного атрибута Execute Only, который можно установить, но нельзя снять (во всяком случае, нет никаких документированных средств для снятия этого атрибута). Напомним, что файл, отмеченный атрибутом Execute Only, можно запустить, но нельзя прочитать как обычный файл.

Было бы очень заманчиво использовать атрибут Execute Only для защиты файлов от нападения вирусов, однако мы должны отметить два момента.

Во-первых, атрибут Execute Only можно устанавливать только для программ DOS, не использующих оверлейную структуру и не выполняющих прямое чтение загрузочного файла. В то же время многие программы дописывают к концу exe-файла данные, которые они затем читают в процессе своей работы.

Kkyyzz.1413

При старте программы, имя которой заканчивается на LI.EXE, вирус Kkyyzz.1413 обращается к программному интерфейсу Novell Netware. Когда вводится слово "kkyyzz" с использованием буферизованного ввода (функция 0Ah прерывания Int 21h), вирус удаляет свой код из памяти.

Как следствие вы не можете защитить атрибутом Execute Only загрузочные файлы приложений и библиотек динамической компоновки операционных систем Microsoft Windows и OS/2. Эти файлы содержат специальные данные (ресурсы) которые читаются из файла при необходимости при выполнении приложений. Для доступа к ресурсам используются команды прямого чтения, которые не будут работать при установленном атрибуте Execute Only.

Используйте атрибут доступа Execute Only только вместе с атрибутом Read Only

Во-вторых, атрибут можно использовать только в паре с атрибутом Read Only, так как иначе вирус сможет “снять” атрибут Execute Only, просто уничтожив файл и записав на его место новый, но уже без атрибута Execute Only.

Вы можете спросить: как вирус запишет файл, ведь он не сможет его прочитать?

Дело в том, что вирусу не нужно читать программный файл. Во многих случаях он сможет восстановить этот файл, пользуясь, например, его образом в оперативной памяти. Когда операционная система DOS запускает файл с атрибутом Execute Only, она “читает” его в оперативную память. А там этот файл уже поджидает вирус. Сделав реконструкцию файла по образу в памяти, он может записать такой файл на место защищенного. Именно поэтому атрибуты Execute Only и Read Only необходимо использовать вместе.

Предоставление доступа к сетевым каталогам

Основной принцип, которому должен следовать системный администратор, вырабатывая стратегию предоставления доступа заключается в том, что пользователям не следует предоставлять прав, которые не нужны им для работы. Если следовать этому принципу, можно избежать многих неприятностей, связаных с потерей или искажением данных, хранящихся на сервере. В том числе, с потерями или искажениями, вызванными вирусами.

Кроме этого, следует убедиться в том, что те права, которые запрашиваются пользователями, действительно им нужны. Вполне возможно, что в ряде случаев хватило бы и меньших прав.

Наиболее грубая ошибка системного администратора заключается в предоставлении кому бы то ни было прав на запись в системные каталоги LOGIN, PUBLIC, SYSTEM. К каталогу SYSTEM никто, кроме системного администратора, не должен иметь доступ ни на чтение, ни тем более на запись.

Никогда не предоставляйте пользователям права доступа на запись в каталоги LOGIN, PUBLIC, SYSTEM. Обычный пользователь не должен также иметь никаких прав на доступ к каталогу SYSTEM

Представьте себе, что системный администратор предоставил всем пользователям право записи в каталог LOGIN. Если на одной из рабочих станций появится активный вирус, он заразит файл LOGIN.EXE, который используется для подключения пользователей к сети. Теперь когда любой другой пользователь подключится к сети или просто просмотрит список серверов при помощи программы SLIST.EXE, расположенной в том же каталоге, вирус заразит его рабочую станцию. Через некоторое (очень небольшое) время вирусная эпидемия охватит всю сеть.

Если же к сети подключится системный администратор, имеющий права на запись во все сетевые каталоги, вирус моментально проникнет на все диски файл-сервера.

Системный администратор должен подключаться к сети только с проверенной на отсутствие вирусов рабочей станции, иначе вирус проникнет во все сетевые каталоги

Описанная выше ситуация не является гипотетической. Мы столкнулись с ней в одной фирме, которая вызывала нас для антивирусной профилактики через службу “Компьютерной скорой помощи”â, которая создана в АО “ДиалогНаука”.

Случай с каталогом LOGIN можно обобщить. Любой программный файл, доступный для записи, служит потенциальным средством распространения вируса в сети. Поэтому мы настоятельно рекомендуем защищать от записи все каталоги, содержащие программные файлы.

Лучше всего если системный администратор выделит для данных, которые изменяются пользователями (например, для файлов баз данных) отдельные каталоги. В этих каталогах пользователи могут иметь права доступа на запись. Системный администратор должен следить за тем, чтобы в таких каталогах не появлялись программные файлы, так как они могут оказаться зараженными вирусами.

В последнее время появились вирусы, поражающие файлы документов, например, doc-файлы, создаваемые текстовым процессором Microsoft Word for Windows. По большей части системный администратор не может хранить такие файлы в защищенных от записи каталогах, так как пользователи постоянно редактируют свои документы. В этом случае необходимо применять специальные антивирусные средства на рабочих станциях, например, Doctor Web for WinWord.

Novell-528

Резидентный вирус.

Заражает только программы с расширением имени COM.

При завершении программы дважды исполняется функция программного интерфейса Novell NetWare "Add Trustee to directory" с именами "WORK:" и "SYS:". Эта функция предназначена для добавления прав доступа к сетевым каталогам.

Для предоставления прав доступа к сетевым каталогам системный администратор должен запустить программу SYSCON.EXE, которая находится в каталоге PUBLIC. Детальное описание этого процесса выходит за рамки нашей книги, однако мы сделаем некоторые замечания. При необходимости вы можете обратится к 3 тому нашей серии книг “Персональный компьютер. Шаг за шагом”.

Полный список прав доступа к каталогам и файлам, которые системный администратор может предоставить пользователям, показан на рис. 4.11.



Рис. 4.11. Права доступа к сетевым каталогам и файлам

Ниже мы приведем обозначение и краткое описание видов доступа к файлам и каталогам.

Вид доступа	Обозначение	Что разрешено
Access Control	A	Изменение прав доступа к каталогу или файлу
File Scan	F	Просмотр содержимого каталога
Create	C	Создание каталогов или файлов в дан­ном каталоге
Erase	E	Удаление каталогов или файлов из дан­ного каталога
Modify	M	Изменение содержимого файлов (перезапись)
Supervisory	S	Права супервизора (можно делать лю­бые операции над файлами, располо­женными в каталоге)
Write	W	Запись в файл

Для обычных пользователей достаточно указывать следующие виды доступа: File Scan, Create, Erase, Modify, Write. Для администраторов групп дополнительно можно указать права Access Control.

Если каталог содержит программные файлы, для него не следует разрешать доступ Write, Modify, Erase, Create.

Прерывание INT 13h

Прерывание INT 13h, обработчик которого находится в BIOS, позволяет любой программе беспрепятственно читать и записывать любые секторы жесткого или гибкого диска. Зная логическую структуру файловой системы MS-DOS (частично описанную в предыдущей главе), разработчик вируса при помощи этого прерывания может встроить вирусный код в загрузочную запись или в любое другое подходящее с его точки зрения место.

Разумеется, о прерывании INT 13h знают не только разработчики вирусов, но и авторы антивирусных программ. И те и другие борятся за получение “настоящей” точки входа в обработчик этого прерывания, который должен быть расположен в постоянном запоминающем устройстве. Целью вируса является перехват прерывания INT 13h, а целью антивирусной программы - обнаружение такого перехвата.

Тем не менее, даже надежно защитив точку входа в обработчик прерывания INT 13h, нельзя гарантировать полную защиту от вирусной атаки.

Как вы, возможно, знаете, в реальном режиме работы процессора программе разрешается выполнять операции обмена данными с любыми портами периферийных устройств. В том числе и с портами контроллера жесткого диска или накопителя на гибком магнитном диске. В 19 томе “Библиотеки системного программиста” мы привели пример программы, которая работает именно таким образом, читая сектор дискеты без обращения к прерыванию INT 13h.

Для того чтобы у вас было некоторое представление о том, что может сделать вирус при помощи прерывания INT 13h, приведем краткое описание функций этого прерывания:

Номер функции		Описание
00h		Сброс дисковой системы
01h		Определение состояния дисковой системы
02h		Чтение сектора
03h		Запись сектора
04h		Проверка сектора
05h		Форматирование дорожки
06h		Форматирование дорожки НМД
07h		Форматирование НМД
08h		Получить текущие параметры НГМД или НМД
09h		Инициализация таблиц параметров НМД
0Ah		Чтение длинное (только для НМД)
0Bh		Запись длинная (только для НМД)
0Ch		Поиск цилиндра (только для НМД)
0Dh		Альтернативный сброс НМД
0Eh		Чтение буфера (только для НМД)
0Fh		Запись буфера (только для НМД)
10h		Проверка готовности НМД
11h		Рекалибровка НМД
12h		Проверка памяти контроллера НМД
13h		Проверка НМД
14h		Проверка контроллера НМД
15h		Получить тип НМД или НГМД
16h		Проверка замены диска
17h		Установка типа дискеты
18h		Установка среды носителя данных для форматирования
19h		Парковка головок (только для НМД)
1Ah		Форматирование НМД с интерфейсом ESDI

<
Как видите, вирус может прочитать, записать и отформатировать дорожку диска. Используя команды 0Ah и 0Bh, разработанные для диагностических целей, вирус может изменить контрльные суммы секторов данных, которые обычно подсчитываются, записываются и проверяются автоматически.

SillyRE.666

Опасный шифрованный вирус.

После загрузки в память своей резидентной копии вирус записывает "мусор" в 11 сектор нулевой дорожки (головка с номером 1), пользуясь для этого операцией длинной записи. Обычно на этом месте диска находится первая копия таблицы размещения файлов FAT

С помощью функций прерывания INT 13h вирус может получить доступ к внутреннему буферу, расположенному непосредственно в дисковом накопителе.

Другой “лакомый кусочек” для вирусов - прерывание INT 76h, которое вырабатывается при завершении операции в контроллере жесткого диска. Вирус может перехватывать это прерывание для реализации стелс-технологии.

Прерывания INT25h и INT 26h

Операционная система MS-DOS предоставляет для работы с файловой системой и логическими дисками свои средства. Это прерывания INT 25h, INT 26h, а также ряд функций прерывания INT 21h. Кроме того, программа может работать с дисковыми устройствами через соответствующий драйвер, обращаясь к нему косвенно с помощью функций интерфейса IOCTL. Все эти средства были нами подробно описаны в 19 томе “Библиотеки системного программиста”.

С помощью прерываний INT 25h и INT 26h любая программа (а также вирус) может, соответственно, прочитать и записать любой сектор логического диска. Используя эти прерывания, вирусу ничего не стоит, например, подменить загрузочный сектор логического диска, выполнив таким образом заражение этого диска.

Так как эти два прерывания используются MS-DOS для выполнения операций с логическими дисками, многие вирусы пытаются их перехватить, чтобы получить контроль над операциями ввода/вывода (например, для реализации стелс-механизма).

MIREA.4156

Полиморфный вирус.

Выполняет поиск EXE-файлов, чтение из файла и запись в файл через прерывания INT 25h и INT 26h. Файлы могут быть поражены в любом подкаталоге текущего диска.

Содержит ошибки, из-за которых неработоспособен на диске с 12-разрядной таблицей размещения файлов FAT.

Иногда по окончании своей работы, может выдать текст:

Заранее прошу извинения.

Чистая случайность, что ЭТО попало к Вам.

По классификации Е.Касперского это типичная  "студенческая" программа, причем в наихудшем ее исполнении:

- портит оверлеи (если не повезет, то и резиденты тоже),

- портит забитый до отказа диск,

- содержит большое число ошибок,

- имеет большой размер,

и т.д.

Чего еще можно ожидать от студента МИРЭА.

Ничего гадкого, кроме распространения программа не делает (я на это надеюсь, хотя от "студенческой" можно ожидать всего из-за ее крайней примитивности и большого числа ошибок ).

МИРЭА - хороший ВУЗ!!!

МИРЭА - это звучит гордо!!!

МИРЭАзм не объяснить, в нем надо жить!!!

Перехват прерываний можно выполнить разными способами. Можно напрямую отредактировать таблицу векторов прерываний. Можно также воспользоваться услугами функций 25h и 35h прерывания INT 21h, предназначенных, соответственно, для установки нового вектора прерывания и получения текущего вектора прерывания.

Однако антивирусные программы тщательно проверяют таблицу векторов прерываний, поэтому для их изменения вирусы используют различные изощренные приемы. Например, вирус может подменить первые несколько команд обработчика прерывания, сохранив эти команды в своем теле. При этом, несмотря на то что таблица векторов прерываний остается нетронутой, прерывание оказывается перехваченным. Такая методика, разумеется, может быть использована для перехвата любых прерываний, а не только прерываний INT 25h и INT 26h.

Программно-аппаратный комплекс Sheriff

Дополнительно к антивирусному комплекту АО “ДиалогНаука” можно приобрести программно-аппаратный комплекс защиты Sheriff. Совместное использование традиционных антивирусных программ и контроля с помощью аппаратных средств обеспечивают наибольшую безопасность системы.

Комплекс, разработанный Фоминым Юрием Николаевичем, включает адаптер защиты и управляющее им программное обеспечение. Адаптер защиты представляет собой плату расширения, предназначенную для установки в системную шину ISA. Плата имеет маленький формат и может быть вставлена в 8-разрядный разъем ISA.

Программно аппаратный комплекс можно использовать с операционными системами, совместимыми с MS-DOS (IBM PC-DOS, DR-DOS, Novell DOS), а также с Microsoft Windows версий 3.1 и 3.11, Microsoft Windows for Workgroups версии 3.11 и новой операционной системой Microsoft Windows 95.

Контроллер защиты контролирует доступ к контроллеру жесткого диска на уровне портов ввода/вывода и сообщает программному обеспечению Sheriff о выполнении любой программой или пользователем несанкционированных действий. Программное обеспечение блокирует дальнейшую работу компьютера, предотвращая возможную порчу программного обеспечения компьютера и записанных в нем данных.

Даже если контроллер жесткого диска подключен к компьютеру через системную шину VLB, PCI или EISA, адаптер защиты будет работать на таком компьютере.

Вот несколько основных возможностей и особенностей комплекса Sheriff:

·    Блокирует выполнение операций, характерных для вирусов и троянских программ. Sheriff предотвращает форматирование жестких дисков; запись в область загрузочных секторов жестких дисков; запись в секторы, распределенные защищаемым файлам, элементам каталогов и таблице размещения файлов; запись в секторы и логические диски, отмеченные как доступные только для чтения; обращение к дискам в обход специально предназначенного для этого прерывания; прямое обращение к портам контроллера жестких дисков

·    Решает проблемы несанкционированного доступа, запрашивая пароль во время начальной загрузки компьютера. Если загрузить защищенный компьютер с дискеты, жесткий диск будет недоступен

·    Содержит в себе систему разграничения доступа для нескольких пользователей, позволяющую определить для каждого пользователя пароль и персональные права доступа к ресурсам компьютера

·    Защиту Sheriff можно отключить только при помощи специальной установочной дискеты. Другие способы отключения контроля связаны с полной потерей данных

Программы-черви

Программы-черви нацелены их авторами на выполнение определенной функции. Они могут быть ориентированы на проникновение в систему и модификацию некоторых данных.

Можно создать программу-червь, подсматривающую пароль для доступа к банковской системе и изменяющую базу данных таким образом, чтобы на счет программиста была переведена большая сумма денег.

Самая известная программа-червь написана студентом Корнельского (Cornell) университета Робертом Моррисом (Robert Morris). Червь был запущен второго ноября 1988 года в сеть Internet. За пять часов червь Морриса смог проникнуть на более чем 6000 компьютеров, подключенных к сети.

Очень сложно узнать, является ли программа троянской и заложена ли в нее логическая бомба. Программист имеет полную власть над своим детищем. Изучение сомнительной программы или системы может занять очень много времени и потребовать значительных финансовых затрат.

Мы не рекомендуем копировать к себе программы с BBS, обмениваться программным обеспечением со своими знакомыми и приобретать незаконные копии фирменного программного обеспечения. В любую из этих программ могут быть встроены дополнительные вредоносные функции и их использование приведет к нарушению работы вашей компьютерной системы.

Проникновение вируса из локальной сети

Широкие возможности обмена данными, которые предоставляют локальные сети, позволяют вирусам распространяться с огромной скоростью. Мы посвятили локальным сетям отдельную главу. А сейчас отметим только, что вирус может проникнуть на компьютер, подключенный к локальной сети, когда пользователь копирует себе файлы из сети или просто запускает программы из сетевых каталогов.

Просмотр каталогов

Для просмотра каталогов с целью проверки их структуры мы воспользуемся программой DISKEDIT.EXE.

Запустите эту программу и из меню Object выберите строку Directory. На экране появится диалоговая панель Change Directory, показанная на рис. 6.29.

Рис. 6.29. Диалоговая панель Change Directory, предназначенная для выбора каталога

В левой части диалоговой панели отображается дерево каталогов текущего диска. Выберите в нем корневой каталог C:\ и нажмите кнопку OK. После этого на экране появится содержимое корневого каталога в форматированном виде (рис. 6.30).

Рис. 6.30. Просмотр содержимого корневого каталога диска C: в форматированном виде

Анализируя полученную информацию, вы можете обнаружить подозрительные изменения в полях размера файла, даты и времени. Кроме того, для каждого файла в столбце Cluster отображается номер распределенного ему первого кластера.

С помощью меню View можно переключиться в режим неформатированного просмотра, когда содержимое каталога отображается в виде дампа (рис. 6.31).

Рис. 6.31. Просмотр содержимого корневого каталога диска C: в виде дампа

Обратите внимание на меню Link. С помощью этого меню вы можете переходить к просмотру логически связанных между собой структур файловой системы (рис. 6.32).

Рис. 6.32. Меню Link позволяет просматривать логически связанные стркутуры файловой системы

Выделите в корневом каталоге диска C: файл IO.SYS, как это показано на рис. 6.32, и затем выберите из меню Link строку Cluster chain (FAT). Вы окажитесь в режиме просмотра первой копии таблицы размещения файлов FAT, причем цепочка кластеров, выделенная файлу IO.SYS, будет выделена (рис. 6.33).

Рис. 6.33. Просмотр цепочки кластеров, выделенный файлу IO.SYS

С помощью строки File меню Link вы можете перейти в режим просмотра содержимого файла IO.SYS (рис. 6.34).

Рис. 6.34. Просмотр содержимого файла IO.SYS в виде дампа

Отметим, что во многих случаях можно выполнять переходы между логически связанными структурами данных двойным щелчком левой клавиши мыши по изображению этих структур, что очень удобно.
Подробности вы найдете в документации к пакету Norton Utilities.

На что следует обратить внимание при проверке структуры каталогов?

Кроме визуальной проверки полей расположенных там дескрипторов следует просмотреть весь каталог до конца. Необходимо убедиться, что в каталоге отсутствуют посторонние данные, которые могут быть записаны туда вирусом.

На рис. 6.35 вы видите удаленный файл с именем хONFIG.SYS (бывший CONFIG.SYS) и свободные элементы каталога, отмеченные строкой Unused directory entry.

Рис. 6.35. Удаленный файл и свободные элементы каталога

Если перейти в режим неформатированного просмотра, то можно убедиться, что свободные элементы каталога содержат нулевые значения. Если же после свободных элементов находятся какие-либо данные, существует очень большая вероятность того, что они записаны туда вирусом или системой защиты программ от несанкционированного копирования (если исследуемый каталог содержит такие программы).

Если каталог поврежден полностью или частично, ссылки на описанные в нем файлы будут потеряны. Если вы найдете тем или иным способом секторы, содержащие нужный вам файл, для которого разрушен дескриптор, пользуясь описанной ниже методикой вы сможете восстановить дескриптор и получить доступ к файлу.

Просмотр сообщений

Пользуясь электронной доской BBS АО “ДиалогНаука”, вы можете кроме всего прочего послать сообщение авторам антивирусных программ Дмитрию Лозинскому (автор программы Aidstest) и Игорю Данилову (автор программы Doctor Web).

Прежде всего войдите в главное меню BBS:

MAIN (35 mins):

Message areas   File areas     Change setup        Bulletins

Yell for SysOp  Statistics     Goodbye (log off)   ?help

Select:m

В приглашении введите символ “m”. После этого вы окажетесь в разделе сообщений:

The MESSAGE Section

There are 117 messages in this area.  The highest is #117

You haven't read any of these.

[0 / 117]  Msg.area L1 ... Comments to the SysOp

           Press <enter> for the NEXT message.

MESSAGE (35 mins):

Area change        Next message       Previous message  

Enter message      Reply to a message

Change current msg =ReadNonStop       -ReadOriginal

+ReadReply         *ReadCurrent       List (brief)

Tag areas          Main menu          Jump to file areas 

Goodbye (log off)  Kill (delete) msg  Upload a message

Forward (copy)     $Reply Elsewhere

^Download Attaches ?help

Select:a

Из меню MESSAGE выберите строку Area change. Для этого введите в приглашении символ “a”.

На экране появится список доступных вам областей сообщений:

Message Areas

*L1          ... Comments to the SysOp

*L2          ... Local Messages

 L3          ... Messages to Dmitry Lozinsky & Igor Daniloff

Message area [Area, "["=Prior, "]"=Next, "?"=List]:

Область L1 предназначена для передачи сообщений системному оператору BBS АО “ДиалогНаука”. В области L2 происходит свободный обмен сообщениями между пользователями, зарегистрированными на BBS. Что же касается области L3, то она предназначена для передачи сообщений авторам антивирусных программ.

Вы можете просмотреть список пользователей BBS АО “ДиалогНаука”, если выберете из меню Main menu строку Statistics и затем строку UserList. При этом на экране появится следующее сообщение:

Press <enter> to list all, or

type a partial name to match:

Если ввести в ответ на него начальные буквы имени пользователя, она покажет всех пользователей, в имени или фамилии которых встречаются введенные вами буквы. Можно нажать клавишу <Enter> и просмотреть полный список пользователей, однако эта процедура может отнять много времени - список довольно длинный.

Для перехода к нужной вам области достаточно ввести обозначение этой области в приглашении Message area.

Для просмотра списка сообщений, находящихся в области, выберите строку List (brief). Для более детального просмотра сообщений используйте строку Browse messages.

Вы можете записать свое сообщение, выбрав строку Enter message, или ответить на сообщение другого пользователя, выбрав строку Reply to a message.

С помощью строки Main menu можно вернуться в главное меню BBS. Выбрав строку Jump to file areas, можно перейти в область файлов.

Просмотр таблицы FAT

Для просмотра таблицы размещения файлов FAT мы воспользуемся программой DISKEDIT.EXE. Из меню Object выберите строку Drive и укажите интересующий вас диск. Если файловая система находится в более или менее исправном состоянии, вы сможете выбрать нужный вам логический диск.

Затем из меню Object выберите одну из двух строк - 1st FAT или 2nd FAT. На экране появится, соответственно, содержимое первой или второй копии таблицы FAT в отформатированном виде (рис. 6.23).

Рис. 6.23. Просмотр первой копии таблицы размещения FAT в отформатированном виде

Вы также можете найти первую или вторую копию таблицы FAT, зная физический адрес загрузочной записи логического диска. Напомним, что загрузочная запись располагается в самом первом секторе дискеты. Расположение загрузочной записи для логических дисков, созданных в разделах жесткого диска, можно определить из таблицы разделов (для логического диска C:) или таблицы логических дисков (для логических дисков, созданных в расширенном разделе).

BadSectors.3422, 3428

Опасные резидентные вирусы.

Перехватывают прерывания INT 8h, INT 16h, INT 21h, INT 25h, INT 26h.

Иногда  отмечают кластеры диска как плохие посредством манипуляций с таблицами размещения файлов FAT. Не заражают  антивирусную программу  SCAN.

Содержат текстовые строки:

COMEXE

SCAN

BadSectors.3422:  BadSectors 1.1

BadSectors.3428:  BadSectors 1.2

Далее, в рамках логического диска существует своя последовательная нумерация секторов. При этом порядок нумерации выбран таким, что при последовательном увеличении номера сектора вначале увеличивается номер головки, затем номер дорожки.

Поясним это на примере.

Пусть, например, у нас есть дискета с девятью секторами на дорожке. Сектор с логическим номером, равным 1, расположен на нулевой дорожке и для обращения к нему используется нулевая головка. Это самый первый сектор на дорожке, он имеет номер 1. Следующий сектор на нулевой дорожке имеет логический номер 2, последний сектор на нулевой дорожке имеет логический номер 9.
Сектор с логическим номером 10 расположен также на нулевой дорожке. Это тоже самый первый сектор на дорожке, но теперь для доступа к нему используется головка с номером 1. И так далее, по мере увеличения логического номера сектора изменяются номера головок и дорожек.

Согласно такой нумерации, сектор с последовательным номером 0 - это загрузочный сектор. Для того чтобы просмотреть содержимое загрузочного сектора при помощи программы DISKEDIT.EXE, вы можете выбрать из меню Object строку Sector и в появившейся диалоговой панели указать номер сектора, равный нулю (рис. 6.24).

Рис. 6.24. Просмотр сектора логического диска по его последовательному номеру

Заметьте, что в этой диалоговой панели в рамке, озаглавленной Sector Usage, показано распределение секторов. Пользуясь этим распределением, вы легко сможете определить последовательный номер сектора загрузочной записи, начало и границы обеих копий FAT, а также начало и границы корневого каталога и области данных, содержащих файлы и другие каталоги.

С помощью меню View вы можете просмотреть содержимое таблицы FAT в виде дампа (рис. 6.25).



Рис. 6.25. Просмотр первой копии таблицы размещения файлов FAT в виде дампа

Визуально таблица размещения файлов должна содержать в основном монотонно изменяющиеся последовательности номеров кластеров, нулевые занчения, соответствующие свободным кластерам, а также значение 0FFFFh, которое является признаком конца цепочки кластеров.

Вслед за первой копией таблицы FAT должна находиться вторая копия FAT (рис. 6.26).



Рис. 6.26. Вторая копия таблицы FAT должна располагаться сразу вслед за первой копией этой таблицы

Размер таблицы FAT вы можете определить, зная содержимое поля блока параметров BIOS BPB со смещением 0Bh (количество секторов, занимаемых одной копией FAT).

Вирусы могут либо полностью разрушать таблицу FAT, либо изменять записанные в ней значения, зашифровывая их или просто уничтожая. Если цепочка кластеров для нужного вам файла разрушена частично или полностью, восстановление такого файла может стать непростой задачей.О том как выполнять такое восстановление, мы расскажем позже в этой главе.

Некоторые вирусы пользуются тем фактом, что конец цепочки кластеров может отмечаться любым значением в диапазоне 0FFF8h - 0FFFFh (для 16-разрядной таблицы FAT). Операционная система MS-DOS использует значение 0FFFFh. Вирус может выделять для себя зараженные файлы (чтобы избежать повторного заражения), отмечая последний распределенный этим файлам кластер любым другим значением, например, 0FFF9h. При этом операционная система будет продолжать работать нормально, как будто ничего не произошло.

Несмотря на то что вторая копия таблицы FAT создавалась как резервная для облегчения процедуры восстановления в случае разрушения первой копии, не стоит особенно надеяться на то, что в случае вирусной атаки вы сможете просто скопировать вторую копию FAT на место первой. Вторая копия FAT также может оказаться разрушенной или зашифрованной.

Проверим, нет ли вирусов

Для проверки новых программ, которые вы записываете в свой компьютер, надо использовать антивирусные программы-полифаги последних версий. Они смогут обнаружить любые вирусы, известные на момент создания программы-антивируса. Желательно, чтобы используемые вами антивирусы выполняли эвристический анализ программ. Возможно, это позволит обнаружить новые, еще не известные вирусы.

Популярность антивирусных программ Aidstest и Doctor Web настолько велика, что они установлены практически на каждом компьютере. Поэтому сейчас мы проверим ваш компьютер с помощью этих программ и посмотрим, нет ли в нем вирусов.

Если у вас нет самых последних версий антивирусов, воспользуйтесь теми программами, которые у вас есть. Несмотря на то, что такая проверка будет неполной, она все же позволит обнаружить большое количество вирусов.

Проверка файловой системы

Пред тем как начинать восстановление файловой системы, необходимо определить масштаб повреждений. Для этого вы должны тщательно проверить содержимое всех структур данных файловой системы.

С чего лучше начинать проверку файловой системы?

Прежде всего следует проверить установку параметров BIOS, среди которых есть такие ключевые параметры, как типы установленных в компьютере жестких дисков, количество дорожек и секторов на одной дорожке. Если эти параметры установлены неправильно, загрузка операционной системы скорее всего будет невозможна.

Далее необходимо проверить содержимое так называемой главной загрузочной записи MBR (Master Boot Record). В этой записи есть программа начальной загрузки и таблица разделов диска Partition Table. Программа начальной загрузки является объектом атаки загрузочных и файлово-загрузочных вирусов, которые записывают сюда свое тело. При повреждении таблицы разделов диска некоторые или все логические диски будут недоступны для DOS.

На следующем этапе вы должны проверить загрузочную записьBoot Record, которая располагается в самом начале логического диска (не путайте ее с главной загрузочной записью MBR). В загрузочной записи располагается программа начальной загрузки операционной системы, расположенной на логическом диске, а также блок параметров BIOS, который называется BPB (BIOS Parameter Block). Блок BPB содержит важную информацию о логическом диске, такую, например, как размер кластера. Вирус может записать свое тело на место загрузочной записи и повредить блок BPB.

3nop

Очень опасный загрузочный вирус. Заражает главную загрузочную запись MBR на жестком диске и загрузочную запись дискет.

Если первый байт на загрузочном секторе имеет значение 0E9h,  то  вирус записывает на место загрузочной программы свой  код, способный заразить главную загрузочную запись MBR жесткого диска и загрузочные секторы дискет

После выполнения проверки загрузочной записи следует заняться таблицей размещения файлов FAT. В этой таблице находится критически важная информация о расположении отдельных кластеров для всех записанных на данном логическом диске файлов. На диске находится две копии таблицы FAT. Вы можете использовать вторую копию FAT для восстановления.

На следующем этапе нужно проверить корневые каталоги логических дисков, а также все нужные вам вложенные каталоги. При необходимости вы должны восстановить испорченные элементы каталогов, описывающие нужные вам файлы.

Ниже мы подробно рассмотрим все эти действия. Попутно мы приведем всю необходимую информацию о важнейших структурах данных файловой системы.

Проверка компьютера

Перед проверкой компьютера выберите диски, которые надо проанализировать. Их названия следует выбрать из меню Диски. Для этого установите курсор на соответствующую строку меню с именем диска и нажмите клавишу <Insert> или клавишу пробела. Около названия диска появится знак плюс (рис. 3.5).

Рис. 3.5. Выбор дисков для проверки

Чтобы начать проверку компьютера, воспользуйтесь меню Работа, представленным на рисунке 3.6. Для проверки устройств, помеченных в меню Диски, выберите строку Проверить диск. Если проверить надо все диски компьютера, достаточно выбрать строку Проверить все. В этом случае не надо предварительно указывать проверяемые устройства в меню Диски.

Рис. 3.6. Проверка компьютера

Если ADinf обнаружит, что на диске произошли изменения, характерные для заражения вирусами, на экране появляется предупреждающее сообщение (рис. 3.7). Все найденные подозрительные изменения помечены символом

. Для продолжения работы нажмите любую клавишу на клавиатуре компьютера. Диалоговая панель с предупреждающим сообщением закроется и вы сможете перейти к изучению результатов проверки диска (рис. 3.8).

Рис. 3.7. Предупреждающее сообщение ADinf

Возможно, что изменения в файловой системе вызваны не заражением вирусами, а другими причинами. Например, изменение загрузочных секторов может быть вызвано установкой новой версии операционной системы. Странная дата создания файла (например, дата больше 2000 года) могут быть вызваны неправильной установкой часов компьютера. Изменение файлов, занесенных в список неизменяемых, может быть вызвано установкой новых версий этих программ.

Чтобы подробнее изучить обнаруженные программой ADinf изменения, выберите из списка “Изменения на диске” нужную позицию и нажмите клавишу <Enter>.

Рис. 3.8. Результаты проверки диска

Наиболее подозрительны изменения в секторе главной загрузочной записи (на рисунке она называется Master-boot сектор), загрузочном секторе и выполнимых файлах. Сообщения об их изменении ни в коем случае нельзя оставлять без внимания.

Чтобы подробнее изучить изменения в секторе главной загрузочной записи выберите первую строчку в списке “Изменения на диске” или нажмите клавишу <F2>. На экране появится диалоговая панель Master-boot сектор, содержащая информацию о главном загрузочном секторе (рис. 3.9). Строка в верхней части панели сообщает об изменении программы начальной загрузки - “Изменился загрузчик”. Если вы не устанавливали новой версии операционной системы, то, скорее всего, компьютер заражен загрузочным вирусом.

Ниже расположены две таблицы, отражающие состояние таблицы разделов в настоящий момент и во время предыдущей проверки. Более подробно об этих таблицах вы можете узнать в главе “Восстановление файловой системы”.

 

Рис. 3.9. Изменения в секторе главной загрузочной записи

Программа ADinf позволяет восстановить старую главную загрузочную запись, которая была сохранена во время предыдущей проверки компьютера. Используйте эту возможность, только если вы полностью уверены, что со времени последней проверки на компьютере не было установлено программное обеспечение, меняющее главную загрузочную запись. Главная загрузочная запись может быть изменена во время установки новой версии операционной системы, программы распределения доступа и некоторых систем защиты от копирования.

Перед тем как начинать восстановление сектора главной загрузочной записи или загрузочного сектора мы рекомендуем сделать резервные копии ваших файлов документов и баз данных, хранимых в компьютере

Если изменился загрузочный сектор диска, вы можете детально просмотреть изменения. Для этого надо выбрать из диалоговой панели Результаты проверки диска (рис. 3.8) строку Загрузочный сектор или нажать клавишу <F3>. На экране откроется новая диалоговая панель, показанная на рисунке 3.10.



Рис. 3.10. Изменения в загрузочном секторе

Особое внимание в этой диалоговой панели следует обратить на изменение команды перехода на программу загрузки операционной системы (Jump на загрузчик) и изменение самой программы загрузки (Область загрузчика DOS).


Их изменение может быть вызвано заражением компьютера загрузочным вирусом.

Обнаружив с помощью ADinf изменения в секторе главной загрузочной записи, загрузочном секторе или в выполняемых файлах, проверьте компьютер с помощью полифагов Aidstest и Doctor Web. Ревизор ADinf сразу может восстановить старые загрузочные сектора, но если компьютер был заражен вирусами типа OneHalf или VolGU, можно потерять информацию, записанную на дисках компьютера

Загрузочный сектор, как правило, изменяется при установке новой версии операционной системы, некоторых систем распределения доступа и после форматирования диска командой FORMAT. Конечно, в этих случаях вируса в компьютере, скорее всего, нет и восстанавливать старый загрузочный сектор не надо.

С большим вниманием надо отнестись к изменениям в выполнимых файлах. Если ADinf обнаружит такие файлы, просмотрите их список. Для этого выберите в диалоговой панели Результаты проверки диска (рис. 3.8) строку Измененных файлов или нажмите клавишу <F7>. На экране появится диалоговая панель Изменившиеся файлы (рис. 3.11).



Рис. 3.11. Изменение выполнимых файлов

Просмотрите весь список изменившихся файлов, выбирая их один за другим. ADinf сообщит о каждом файле дату и время его последнего изменения, старую длину файла и его новую длину. Если изменение длины файла не сопровождается изменением даты его последней модификации, возможно файл заражен вирусом.

Особое внимание следует обратить на случаи, когда изменились файлы, занесенные в список неизменяемых. Обычно в этот список включаются основные файлы операционных систем, другие часто используемые выполнимые файлы. По умолчанию в списке неизменяемых файлов включены файлы COMMAND.COM, IBMBIO.COM, IBMDOS.COM, IO.SYS, NC.EXE, NCMAIN.EXE и WIN.COM.

Некоторые программы записывают в свой выполнимый файл различную информацию, например конфигурацию программы и т. д. Но обычно в этом случае меняется дата и время создания файла.

В любом случае рекомендуется проверить все измененные выполнимые файлы при помощи каких-нибудь программ-полифагов.Удобнее всего организовать взаимодействие ревизора ADinf и полифагов Aidstest и Doctor Web. ADinf может подготовить для этих программ список измененных, новых и перемещенных файлов, которые необходимо проверить. Более подробно о возможностях такого взаимодействия программ антивирусного комплекта АО “ДиалогНаука” мы расскажем в разделе Взаимодействие программ антивирусного комплекта.

Проверка параметров BIOS

Когда вы первый раз подходите к компьютеру, возможно зараженному вирусом, необходимо вначале проверить параметры BIOS, которые хранятся в CMOS. Для просмотра и изменения параметров BIOS предназначена специальная программа, которая называется BIOS Setup.

Способ запуска программы BIOS Setup зависит от ее изготовителя и версии, однако обычно запуск выполняется, если во время начального теста оперативной памяти нажать клавиши <Delete>, <F2> или комбинацию клавиш <Alt+Ctrl+Esc>. Более точную информацию вы можете получить из документации, которая прилагается к системной плате компьютера.

Выключите питание компьютера, если оно было включено, и через 20-30 секунд включите его опять. Такая процедура гарантированно “убивает” резидентные вирусы, “выживающие” после теплой перезагрузки с помощью комбинации клавиш <Ctrl+Alt+Del>. Когда начнется тест памяти, нажмите одну из перечисленных выше клавиш для запуска программы BIOS Setup.

Через некоторое время на экране появится окно программы BIOS Setup, внешний вид которого зависит от изготовителя и версии программы. На рис. 6.1 мы показали внешний вид такого окна для программы BIOS Setup, созданной фирмой AMI.

Рис. 6.1. Окно программы BIOS Setup, созданной фирмой AMI

Прежде всего вам нужно выбрать в меню программы строку STANDARD CMOS SETUP и проверить установку стандартных параметров BIOS. Обратите особое внимание на типы и параметры установленных жестких дисков (Hard disk), типы накопителей на гибких магнитных дисках (Floppy Drive) и дату. Примерный вид таблицы, в которой отображаются стандартные параметры, показан на рис. 6.2.

Рис. 6.2. Просмотра стандартных параметров BIOS

Перепишите параметры жестких дисков, такие как тип, количество цилиндров, головок и секторов на одной дорожке. Сравните эти значения с паспортными данными, взятыми из документации на жесткий диск. Вирусы могут уменьшать количество дорожек, записывая свое тело в конец диска. Поэтому если значения не совпадают с паспортными, это выглядит очень подозрительно.

Напомним, что тип диска представляет собой число, которое обычно лежит в диапазоне значений от 1 до 47. При этом типам от 1 до 46 соответствуют стандартные наборы параметров.

Как правило, для современных устройств IDE указывается тип 47, который позволяет выполнять ручную установку количества цилиндров, головок и секторов на одной дорожке, а также других. Если в параметрах BIOS установлен 47 тип диска, обязательно проверьте параметры по документации, которая поставляется вместе с диском.

В некоторых случаях может быть указан тип диска с номером 1, хотя в компьютере установлен жесткий диск очень большого размера (типу 1 соответсвует размер диска 10 Мбайт). Это означает, что диск полключен через контроллер, имеющий собственные программы обслуживания в постоянном запоминающем устройстве (ПЗУ).

Иногда оба диска отмечены в параметрах BIOS как Not Installed, однако компьютер нормально работает и операционная система загружается с диска C: (примером может служить портативный компьютер B-300 фирмы Bondwell). В этом случае контроллер диска также имеет собственные программы обслуживания.

Vlad

Неопасный загрузочный вирус. Записывает свой код в перепрограммируемое ПЗУ Flash BIOS, если оно имеется в компьютере.

Если операционная система не загружается с жесткого диска, прежде всего следует проверить параметры BIOS. Эти параметры могут быть установлены неправильно в результате разряда аккумуляторной батареи, расположенной на основной плате компьтера или в результате вирусной атаки.

Обратите также внимание на тип накопителя на гибких магнитных дисках (НГМД). Если НГМД с обозначением A: отмечен как Not Installed, вы не сможете загрузить операционную систему с чистой дискеты, свободной от вирусов.

Некоторые вирусы специально отключают устройство A: для того чтобы затруднить процедуру лечения. Когда какая-нибудь программа обращается к устройству A:, вирус перехватывает такое обращение и временно подключает устройство, а затем, после выполнения операции, подключает его снова.


Смысл такой процедуры заключается в том, что при отключенном устройстве A: операционная система загружается с диска C: (к счастью, это верно не для всех компьютеров). При этом вирус получает управление первым и контролирует загрузку операционной системы с чистой дискеты.

SMEG.Pathogen.3732

Очень  опасный полиморфный вирус, использующий довольно сложный алгоритм шифровки.

В понедельник может записать в байт CMOS с номером 10h значение 0 (тип используемых НГМД). Это означает, что устройства НГМД не установлены. После этого вирус корректирует контрольную сумму CMOS (ячейки 2Eh-2Fh), чтобы при инициализации системы BIOS "не заподозрил" неладное. После  данных манипуляций компьютер "не видит" устройства НГМД.

Также при определенных условиях в понедельник в 11 часов вирус может вывести на экран следующий текст:

Your hard-disk is being corrupted, courtesy of PATHOGEN!

Programmed in the U.K. (Yes, NOT Bulgaria!) [C] The Black Baron 1993-4. Featuring SMEG v0.1:  Simulated Metamorphic Encryption Generator!

'Smoke me a kipper, I'll be back for breakfast.....'

Unfortunately some of your data won't!!!!!

После этого вирус перехватывает обработчик  прерывания от клавиатуры INT 09h и уничтожает информацию в случайных секторах первого жесткого диска. Если в этот момент не перегрузить компьютер кнопкой "RESET" или не выключить питание, то содержимое диска может быть полностью уничтожено (комбинация клавиш <Ctrl+Alt+Del> не поможет)

В завершении процедуры проверки параметров BIOS выберите из главного меню программы BIOS Setup строку ADVANCED CMOS SETUP. На экране появится меню настройки расширенных параметров BIOS (рис. 6.3).



Рис. 6.3. Меню настройки расширенных параметров BIOS

В этом меню обратите внимание на строку System Boot Up Sequence, в которой определяется порядок загрузки операционной системы. Если в этой строке указан порядок загрузки C:, A:, вы не сможете загрузить операционную систему с дискеты. Так как для поиска вирусов вы обязательно должны загрузить DOS с чистой дискеты, измените порядок загрузки на A:, C:.



После завершения всех работ с компьютером верните установку C:, A: или C: Only (если такое значение есть в данной версии BIOS). В этом случае компьютер будет надежно защищен от заражения загрузочным вирусом через накопитель на гибких магнитных дисках.

Перед тем как перейти к следующему этапу анализа состояния файловой системы компьютера, убедитесь в том, что в стандартных параметрах BIOS установлен правильный тип диска, что НГМД с обозначением A: подключен и его тип также указан правильно. Кроме этого, в расширенных параметрах BIOS установите порядок загрузки A:, C:.

В некоторых случаях содержимое памяти CMOS разрушается. Это может произойти, например, при выходе из строя аккумуляторной батареи, которая питает память CMOS, или в результате воздействия вируса.

Если это произошло, вы должны восстановить параметры BIOS, воспользовавшись для этого программой BIOS Setup. Как правило, эта программа предоставляет вам возможность установить параметры BIOS, принятые по умолчанию.

Программа BIOS Setup, созданная фирмой AMI, позволяет вам загрузить два набора параметров BIOS.

Первый из них загружается при выборе в главном меню программы (рис. 6.1) строки AUTO CONFIGURATION WITH BIOS DEFAULTS. Этот набор параметров предназначен для нормальной работы системной платы и может быть оптимизирован вручную (при помощи строки ADVANCED CMOS SETUP).

Второй набор параметров соответствует строке AUTO CONFIGURATION WITH POWER-ON DEFAULTS и используется главным образом в тех случаях, когда с первым набором компьютер не запускается. Во втором наборе устанавливаются более консервативные параметры (например, отключается кэширование основной оперативной памяти), что иногда позволяет запустить даже частично неисправный компьютер.

Проверка паролей и прав пользователей

Периодически системный администратор должен проверять целостность защиты серверов. При этом следует выполнить анализ прав доступа на избыточность, а также проверить, для всех ли пользователей задан пароль.

Проще всего выполнить такую проверку, запустив программу SECURITY.EXE из каталога SYSTEM. Параметры указывать не нужно.

Периодически проверяйте права пользователей сети на избыточность

Программа SECURITY.EXE проверит права всех пользователей и выведет на экран рабочей станции замечания. Подробное описание этих замечаний вы найдете на стр. 258 в 3 томе библиотеки “Персональный компьютер. Шаг за шагом”. На все замечания следует обязательно отреагировать, так как их появление говорит о потенциальном снижении устойчиости системы защиты сервера Novell NetWare к преднамеренным или непреднамеренным действиям пользователя или к нападению вирусов.

Проверка таблицы разделов при помощи программы DISKEDIT.EXE

Наиболее удобное, на наш взгляд, средство анализа логических структур файловой системы - редактор диска DISKEDIT.EXE, который входит в пакет Norton Utilities. Лучше всего записать эту программу на системную дискету, так как только при загрузке с такой дискеты вы сможете исследовать файловую систему, зараженную вирусами или разрушенную файловую систему, когда DOS не загружается с жесткого диска.

Меню Object предоставляет вам широкие возможности выбора структуры для просмотра (рис. 6.6).

Рис. 6.6. Меню Object программы DISKEDIT.EXE из пакета Norton Utilities

Для начала выберите из этого меню строку Drive. Если на физическом жестком диске имеются исправные разделы с определенными в них логическими дисками, вы увидите список логических дисков, показанный на рис. 6.7.

Рис. 6.7. Просмотра списка логических дисков

В данном случае для просмотра доступны логические диски C: и D:, расположенные, соответственно, в основном и расширенном разделах.

Если файловая система компьютера разрушена до такой степени, что невозможно выполнить загрузку операционной системы с диска C:, а при ее загрузке с устройства A: не видно ни одного логического диска, при выборе строки Drive вам будет показан список физических дисков (рис. 6.8).

Рис. 6.8. Просмотр списка физических дисков, установленных в компьютере

Для просмотра самого первого сектора физического диска, содержащего главную загрузочную запись и таблицу разделов, выберите физический диск Hard Disk 1 и нажмите кнопку OK. После этого на экране появится содержимое искомого сектора в виде дампа (рис. 6.9).

Рис. 6.9. Просмотр содержимого первого сектора первого физического диска

Сектор имеет размер 512 байт, поэтому на одном экране его содержимое не помещается. Вы можете нажать клавишу <PgDn> и посмотреть вторую часть сектора (рис. 6.10).

Рис. 6.10. Прсомотр второй части первого сектора

На что здесь нужно обратить внимание?

В начале сектора (рис. 6.9) находится главная загрузочная запись, которая, как мы уже говорили, является программой.
При наличии достаточного опыта вы можете ее дизассемблировать и исследовать. В любом случае следует проверить ее длину (программа загрузки не очень большая). После программы загрузки до начала таблицы разделов должны располагаться нулевые байты. Кроме того, внутри программы загрузки должны быть сообщения Invalid Partition table, Error loading operating system и Missing operating system.

Несмотря на то что существуют загрузочные вирусы, лишь слегка изменяющие главную загрузочную запись, во многих случаях вы сможете заметить следы нападения, просто взглянув на дамп первого сектора жесткого диска и сравнив его визуально с изображенным на рис. 6.9. Особенно подозрительно, если помимо перечисленных выше текстовых сообщений в теле программы загрузки присутствуют какие-либо еще сообщения.

Что же касается второй части самого первого сектора жесткого диска, в ней должна находиться таблица разделов диска.

Последние два байта должны содержать признак таблицы разделов (сигнатуру) - значение 0AA55h. Обратите внимание, что байты сигнатуры привдедны в обратном порядке - байт с младшим значением находится по младшему адресу. Это особенность архитектуры процессоров фирмы Intel.

Вы можете выполнить анализ таблицы разделов диска, пользуясь приведенной выше информацией о ее формате. Напомним, что таблица располагается в первом секторе диска со смещением 1BEh. Однако намного удобнее воспользоваться для анализа этой таблицы форматным просмотром редактора DISKEDIT.EXE.

Установите курсор (мышью или клавишами перемещения курсора) на байт со смещением 1BEh, который соответствует началу таблицы разделов. Затем из меню View выберите строку as Partition Table (рис. 6.11).

Рис. 6.11. Меню View программы DISKEDIT.EXE из пакета Norton Utilities

На экране появится таблица разделов диска в отформатированном виде (рис. 6.12).



Рис. 6.12. Просмотр таблицы разделов диска в отформатированном виде

В столбце System отображается информация об операционной системе, которая строится на основе анализа поля кода операционной системы элемента раздела.


Если раздел активен, в столбце Boot для него указана строка Yes, если нет - строка No.

Столбцы Starting Location и Ending Location в полях Side, Cylinder и Sector, содержат в расшифрованном виде информацию, соответственно, о расположении самого первого и самого последнего секторов раздела.

Номер относительного сектора, с которого начинается раздел, вы можете узнать из столбца Relative Sectors, а общее количество секторов - в столбце Number of Sectors.

Полученную информацию о границах разделов имеет смысл сравнить с параметрами жесткого диска, полученными с помощью программы BIOS Setup, так как вирусы могут прятать свое тело в секторах диска, которые находятся в конце диска и не распределены ни одному разделу. Однако при этом следует учитывать, что современные дисковые контроллеры способны выполнять так называемую трансляцию дорожек и головок, которая может исказить полученную картину.

Поясним сказанное на примере.

В одном из наших компьютеров установлен диск, имеющий 1057 дорожек и 16 головок. На каждой дорожке расположено 63 сектора размером 512 байт. При этом общий объем диска составляет 520 Мбайт. Именно эти параметры нам сообщила программа BIOS Setup.

Программа FDISK.EXE определила, что на диске имеется два раздела, размером 300 и 219 Мбайт, а диск используется на 100 процентов (рис. 6.13).



Рис. 6.13. Просмотр параметров разделов диска программой FDISK.EXE

В то же время, как видно из рис. 6.12, программа DISKEDIT.EXE для этого диска показывает, что последний сектор последнего раздела расположен на дорожке с номером 526.

На первый взгляд, тут что-то не так: программа BIOS Setup сообщает нам, что на диске имеется 1057 дорожек и 16 головок, а в таблице разделов для последнего сектора последнего раздела мы видим совсем другие значения: этот сектор расположен на 526 дорожке, а номер головки равен 31!

Причина такого несоответствия заключается в том, что наш контроллер типа Enchanced IDE (другое название - Fast ATA), расположенный непосредственно на основной плате компьютера, выполняет трансляцию дорожек и головок, предоставляя программам диск, в котором по сравнению с действительным состоянием меньше дорожек, но больше головок.

Зачем это нужно?

Из-за внутренних ограничений операционная система DOS не может работать с дорожками, номер которых превышает значение 1023. Однако современные дисковые накопители обладают значительной емкостью (порядка 1 - 4 Гбайт и даже больше), поэтому в них приходится делать очень много дорожек. Другие операционные системы, такие как IBM OS/2, Microsoft Windows NT, UNIX или Novell NetWare, не имеют ограничений на количество адресуемых дорожек диска. Что же касается DOS, то без дополнительных мер максимальный размер раздела диска не будет превышать примерно 500 Мбайт.

Логическая трансляция, выполняемая контроллером диска, позволяет операционной системе DOS работать с разделами очень большого размера, поэтому вы можете с ней столкнуться при исследовании большинства современных компьютеров.

Проверка загрузочного сектора

Адрес загрузочного сектора логического диска нетрудно найти в таблице логических дисков (рис. 6.16). В загрузочном секторе логического диска находится программа начальной загрузки операционной системы. Эта программа загружается в оперативную память загрузчиком, расположенным в главной загрузочной записи MBR.

Назначение программы, расположенной в загрузочном секторе логического диска - загрузка операционной системы, находящейся на этом логическом диске.

Таким образом, при включении питания после выполнения процедуры тестирования BIOS загружает в оперативную память содержимое главной загрузочной записи и передает ей управление. Главная загрузочная запись просматривает таблицу разделов диска и находит активный раздел. Затем она считывает загрузочный сектор логического диска, расположенного в активном разделе, и передает управление находящейся в этом секторе программе загрузки операционной системы. Эта программа, в свою очередь, выполняет всю работу по загрузке операционной системы в память компьютера.

Программа начальной загрузки операционной системы, расположенная в загрузочной записи, является излюбленным объектом нападения загрузочных и файлово-загрузочных вирусов, записывающих в нее свое тело (точно также, как и программа загрузки, расположенная в главной загрузочной записи MBR).

Формат загрузочного сектора зависит от операционной системы и даже от версии операционной системы. Мы рассмотрим формат этого сектора для версий MS-DOS, более ранних, чем 4.0, и для современных версий, таких как 6.22.

Tchechen.1909, 1912, 1914, 3604

Очень опасные резидентные шифрованные вирусы (вирус Tchechen.3604 - полиморфный).

При старте вирусы данной группы (кроме вируса Tchechen.3604) считывают  второй сектор жесткого диска и записывают в него слово "МИР:" и число 4, которое будет являться счетчиком запусков инфицированных программ.

Потом вирусы пытаются найти в ПЗУ BIOS текстовые строки Megatrends, AWARD. Если это им удается, то вирусы выключают в CMOS-памяти параметр Virus Warning on Boot (контроль записи в загрузочный сектор).
Но следует отметить, что при поиске этих двух слов вирусы никогда не смогут найти слово AWARD.

При достижении счетчиком во втором секторе нулевого значения вирусы заменяют слово "МИР:" и помещают в главную загрузочную запись MBR жесткого диска "троянский" код.

Этот код при загрузке операционной системы самостоятельно передает управление активному загрузочному сектору жестого диска, но примерно через месяц (10 дней для вируса Tchechen.3604) после записи данного кода в MBR уничтожает содержимое всего первого жесткого диска. После чего автором вируса планировался вывод на экран текста, который мы здесь не приводим.

Вирус Tchechen.3604 не заражает программы, имя которых начинается с символов WE, AD, AI, CO, DR, AV, TB, CH. Вирусы Tchechen.1914, 3604 неработоспособны на процессоре Pentium

Для любой версии MS-DOS помимо программы начальной загрузки операционной системы загрузочная запись содержит параметры, описывающие характеристики данного логического диска. Все эти параметры располагаются в самом начале сектора, в его так называемой форматированной области. Последние два байта загрузочного сектора содержат уже знакомую вам сигнатуру 0AA55h.

Перед исследованием загрузочной записи вы должны при помощи команды VER определить версию операционной системы MS-DOS, установленной в компьютере. Для версий MS-DOS, более ранних чем 4.0, формат загрузочной записи приведен ниже:

Смещение, байт	Размер, байт	Описание
0	3	Команда JMP xxxx (переход на программу начальной загрузки)
3	8	Название фирмы-изготовителя операционной системы и версия, например: IBM  4.0
0Bh	13	Блок параметров BIOS (BPB)
18h	2	Количество секторов на дорожке
1Ah	2	Количество головок
1Ch	2	Количество скрытых секторов (эти секторы могут использоваться для схемы разделения физического диска на разделы и логические диски)

В самом начале загрузочного сектора располагается команда внутрисегментного перехода JMP.


Она нужна для обхода форматированной зоны сектора и передачи управления загрузочной программе, располагающейся со смещением 1Eh.

Название фирмы-изготовителя не используется операционной системой и представляет из себя текстовую строку длиной 8 байт.

Со смещением 0Bh располагается блок параметров BIOS, который обычно обозначается как BPB. Этот блок содержит некоторые характеристики логического диска, такие как количество секторов в одном кластере, общее количество секторов и т. д. Формат блока BPB будет описан позже.

Поля загрузочного сектора со смещениями 18h и 1Ah содержат, соответственно, количество секторов на дорожке и количество головок. Поле со смещением 1Ch содержит количество "скрытых" секторов, которые не принадлежат ни одному логическому диску. Эти секторы могут содержать таблицу разделов диска или таблицы логических дисков.

Для современных версий MS-DOS загрузочный сектор имеет другой формат:

Смещение, байт	Размер, байт	Описание
0	3	Команда JMP xxxx (переход на программу начальной загрузки)
3	8	Название фирмы-изготовителя операционной системы и версия
0Bh	25	Extended BPB - расширенный блок параметров BIOS
24h	1	Физический номер устройства (0 - накопитель на гибком магнитном диске НГМД, 80h - жесткий диск)
25h	1	Зарезервировано
26h	1	Символ ')' - признак расширенной загрузочной записи Extended BPB
27h	4	Серийный номер диска (Volume Serial Number), создается во время форматирования диска
2Bh	11	Метка диска (Volume Label)
36h	8	Текстовая строка 'FAT12   ' или 'FAT16   ', которая указывает на формат таблицы размещения файлов FAT

Первые два поля имеют то же назначение, что и в загрузочной записи старых версий MS-DOS.

Поле со смещением 26h содержит символ ')'. Этот символ означает, что используется формат расширенной загрузочной записи и, соответственно, расширенный блок параметров BIOS Extended BPB.

Серийный номер диска формируется во время форматирования диска на основе даты и времени форматирования.


Поэтому можно считать, что все диски и дискеты имеют разные серийные номера.

Метка диска формируется при форматировании и может быть изменена командой LABEL операционной системы MS-DOS. Одновременно метка диска помещается в корневой каталог в виде специального дескриптора. О формате каталогов и дескрипторов, а также о формате таблицы размещения файлов FAT мы расскажем позже.

Теперь о блоке параметров BIOS BPB и расширенном блоке параметров BIOS Extended BPB.

Для версий MS-DOS, более ранних чем 4.0, блок BPB имеет следующий формат:

Смещение, байт	Размер, байт	Описание
0	2	Количество байт в одном секторе диска
2	1	Количество секторов в одном кластере
3	2	Количество зарезервированных секторов
5	1	Количество таблиц FAT
6	2	Максимальное количество дескрипторов файлов в корневом каталоге диска
8	2	Общее количество секторов на носителе данных (в разделе MS-DOS)
0Ah	1	Байт-описатель среды носителя данных
0Bh	2	Количество секторов, занимаемых одной копией FAT

Расширенный блок параметров BIOS состоит из обычного блока BPB и дополнительного расширения:

Смещение, байт	Размер, байт	Описание
0	2	Количество байт в одном секторе диска
2	1	Количество секторов в одном кластере
3	2	Количество зарезервированных секторов
5	1	Количество таблиц FAT
6	2	Максимальное количество дескрипторов файлов в корневом каталоге диска
8	2	Общее количество секторов на носителе данных (в разделе MS-DOS)
0Ah	1	Байт-описатель среды носителя данных
0Bh	2	Количество секторов, занимаемых одной копией FAT
0Dh	2	Количество секторов на дорожке
0Fh	2	Количество магнитных головок
11h	2	Количество скрытых секторов для раздела, который по размеру меньше 32 Мбайт
13h	2	Количество скрытых секторов для раздела, превышающего по размеру 32 Мбайт
15h	4	Общее количество секторов на логическом диске для раздела, превышающего по размеру 32 Мбайт

<


Байт- описатель среды может содержать следующие значения, характеризующие носитель данных:

Значение	Количество сторон	Количество секторов	Диаметр, дюймы	Емкость, Кбайт
0F0h	2	18	3,5	1440
- “ -	2	36	3,5	2880
- “ -	2	15	5,25	1200
0F8h	-	-		Жесткий диск любой емкости
0F9h	2	9	3,5	720
- “ -	2	15	5,25	1200
0FAh	1	8	5,25	320
0FBh	2	8	3,5	640
0FCh	1	9	5,25	180
0FDh	2	9	5,25	360
0FEh	1	8	5,25, 8	160
0FFh	2	8	5,25, 8	320

В этой таблице мы привели данные для дискет и жесткого диска.

Для форматного просмотра блока параметов BPB (или расширенного блока параметров Extended BPB, в зависимости от версии MS-DOS) удобно использовать программу DISKEDIT.EXE. При этом вы можете найти загрузочную запись двумя способами.

Во-первых, можно выбрать из меню Object строку Boot Record (выбрав предварительно нужный логический диск при помощи строки Drive того же меню). При этом вы сразу же окажитесь в режиме форматного просмотра блока параметров BIOS выбранного вами диска (рис. 6.18).



Рис. 6.18. Режим форматного просмотра загрузочной записи

Во-вторых, если логические диски недоступны, но вам удалось считать таблицу разделов или таблицу логических дисков, вы можете перейти к просмотру загрузочной записи, указав ее физический адрес. Для этого из меню Object надо выбрать строку Physical Address (как это было описано раньше). На экране появится дамп первой части загрузочного сектора (рис. 6.19).



Рис. 6.19. Первая часть дампа загрузочной записи

Нажав клавишу <PgDn>, вы можете перейти к просмотру второй части загрузочного сектора (рис. 6.20).



Рис. 6.20 Вторая часть дампа загрузочной записи

При помощи строк as Boot Record и as Hex меню View вы можете перейти, соответственно, к форматному и неформатному режиму просмотра загрузочного сектора.



Формирование загрузочной записи и блока параметров BIOS происходит при форматировании логического диска (например, командой FORMAT). Если с помощью программы FDISK удалить логический диск, а потом создать на его месте новый такого же размера, блок BPB окажется разрушенным. При этом вам придется отформатировать логический диск заново.

Блок параметров BIOS содержит критичную информацию, при разрушении которой становится невозможным нормальный доступ к файлам и каталогам, расположенным на логическом диске. Неосторожное обращение с загрузочным сектором жесткого диска может привести к необходимости переформатирования соответствующего логического диска с полной потерей хранившихся там данных.

Детальный анализ изменений, внесенных вирусом в загрузочную запись, предполагает дизассемблирование загрузочной записи и потому доступно только опытным программистам. Тем не менее можно проверить параметры, записанные в блоке BPB и выполнить визуальную проверку загрузочной программы. В теле этой программы не должно быть, например, никаких посторонних текстовых строк.

Перед тем как продолжить дальнейший анализ файловой системы, полезно сделать распечатку содержимого загрузочных секторов всех имеющихся логических дисков в форматном и неформатном виде, так как блок параметров BIOS содержит сведения, необходимые для поиска и анализа других логических структур файловой системы.

Для распечатки выберите из меню Tools строку Print Object as и в появившейся на экране диалоговой панели выберите строку Boot Record (рис. 6.21). Затем нажмите кнопку OK.



Рис. 6.21. Форматная печать содержимого загрузочного сектора

Аналогичным образом вы можете распечатать содержимое других логических структур файловой системы, например, содержимое таблицы разделов диска.

Разновидности локальных сетей

Так как методы защиты локальных сетей от вирусов сильно зависят от архитектуры сети, перед описанием конкретных приемов защиты и методик мы немного расскажем о том, какие бывают локальные сети.

Все существующие на данный момент локальные сети по своей архитектуре можно разделить на три группы.

К первой группе относятся небольшие одноранговые сети, объединяющие несколько компьютеров. Такие компьютеры называются рабочими станциями сети. В одноранговой сети все рабочие станции равноправны и равнозначны с точки зрения выполняемых ими функций. Каждая рабочая станция может предоставить в распоряжение всех пользователей сети свои ресурсы, например, принтер, диски или факс-модем.

Вторая группа локальный сетей - это сети с так называемым выделенным сервером (в сети может быть несколько выделенных серверов) или централизованные сети. В таких сетях один или несколько компьютеров выделяют свои ресурсы в коллективное пользование. При этом рабочие станции имеют доступ к сетевым принтерам и дискам, подключенным к серверу, но не к принтерам и дискам других рабочих станций. По своей идеологии эта группа сетей противоположна первой, объединяющей ресурсы рабочих станций.

Сети третьей группы на самом деле есть ни что иное, как комбинация одноранговых сетей с сетями второй группы, использующими выделенные серверы. При использовании такого конгламерата получается, с одной стороны, удобное взаимодействие между отдельными рабочими станциями, с другой - возможность обращения к централизованным ресурсам выделенных серверов (например, к серверам баз данных или почтовым серверам).

Разрушение аппаратуры компьютера

Могут ли вирусы вызывать аппаратные повреждения компьютера? На момент написания книги точной информации о таких вирусах не было. Сведения о вирусах, которые могут перепрограммировать видеоадаптер таким образом, чтобы он выжег люминофор на экране монитора, и вирусах, которые вводят в резонанс головки жесткого диска, достоверно не подтверждены.

Тем не менее, существуют вирусы, которые могут основательно вывести компьютер из строя. Многие компьютерные вирусы стирают или портят содержимое энергонезависимой CMOS-памяти компьютера. В результате чего компьютер перестает загружаться.

Отдельные вирусы используют еще более изощренный метод - они устанавливают в CMOS-памяти пароль для загрузки системы. При этом блокируется как загрузка компьютера, так и доступ к программе Setup. Убрать такой пароль можно, на время отключив питание энергонезависимой памяти. Для этого необходимо открыть корпус компьютера и переставить перемычки на системной плате.

Существуют системные платы (например Enterprise-II), на которых CMOS-память и питающий их аккумулятор расположены внутри одной микросхемы. Сбросить такую CMOS-память, отключив питание, невозможно. После того как вирус установит свой пароль, вам остается только угадать его или отправить системную плату на завод-изготовитель (либо просто купить новую системную плату).

Ревизор диска ADinf и лечащий модуль ADinf Cure Module

Использование антивирусных программ не может гарантировать полную защиту компьютера от заражения вирусами. Антивирусные программы-полифаги типа Aidstest и Doctor Web в первую очередь настроены на обнаружение уже известных вирусов и их клонов. В Doctor Web есть эвристический анализатор, обнаруживающий большинство новых вирусов, но все же существует небольшая вероятность появления вируса, который не будет обнаружен. Кроме того, даже если новый вирус будет обнаружен, вылечить его сразу не удастся. Поэтому в антивирусный комплект включена программа-ревизор ADinf, созданная Мостовым Дмитрием Юрьевичем.

Ревизор диска ADinf сохраняет в своих таблицах различную информацию о жестком диске компьютера - загрузочных секторах, сбойных кластерах, структуре каталогов и выполнимых файлах (рис. 3.3). Это позволяет выявить любой вирус, как только он проявит себя и попытается заразить новые файлы или загрузочные секторы.

Так как стелс-вирусы перехватывают обращения к дисковой подсистеме компьютера и скрывают присутствие вируса, ADinf считывает информацию с диска, минуя операционную систему. Для чтения диска ADinf обращается непосредственно к соответствующей функции BIOS, записанной в ПЗУ компьютера. В этом случае вирус не может перехватить обращение к диску, и ADinf получает достоверную информацию.

На этом, в частности, основан метод поиска активных стелс-вирусов. Ревизор ADinf считывает проверяемые файлы и загрузочные секторы двумя способами: через операционную систему и непосредственно через вызов BIOS. Полученные данные сравниваются. Если между ними обнаруживаются различия, значит в памяти находится активный стелс-вирус, скрывающий свое присутствие.

Рис. 3.3. Проверка диска ревизором ADinf

В состав антивирусного комплекта входит дополнительный модуль ADinf Cure Module, предназначенный для использования совместно с ревизором ADinf. ADinf Cure Module разработан Ладыгиным В. С., Зуевым Д. Г. и Мостовым Д. Ю. В нашей книге мы рассматриваем ADinf версии 10.5a и лечащий модуль ADinf Cure Module версии 3.03.

Дополнив ревизор ADinf лечащим модулем ADinf Cure Module, вы получаете возможность не только обнаружить появление вируса, но также и удалить его. Интересно, что ADinf Cure Module не содержит вирусной базы данных и может удалить даже новый, ранее неизвестный вирус. Для этого лечащий модуль использует информацию о зараженном файле, собранную им до того, как файл был поражен вирусом. Версии 3.03 и 3.04 ADinf Cure Module позволяют удалить вирусы из COM-, EXE-, SYS-, XTP- и BAT-файлов.

Когда книга готовилась к публикации, вышла новая версия ревизора ADinf 10.6 и лечащий модуль ADinf Cure Module версии 3.04. По сравнению с предыдущими версиями программ, в них добавлена возможность установки ADinf и ADinf Cure Module на сетевом диске.

Теперь при работе в локальной сети ADinf и ADinf Cure Module можно установить на сервере, что облегчит администратору смену версий программ. При запуске с сетевого диска ADinf по умолчанию ищет свой файл настроек и личные таблицы в каталоге C:\ADINF на локальной машине. Этот каталог можно изменить, указав дополнительный параметр -HOME:<путь>. Улучшена совместимость с новой операционной системой Windows 95 - изменен алгоритм работы с  файлами при  лечении, что  обеспечивает сохранение  длинных имен файлов.

Резервное копирование

Очень важно организовать резервное копирование информации, хранимой в компьютере. В зависимости от средств, которыми вы располагаете, можно выполнять полное копирование жестких дисков компьютера или копирование только самой важной информации, которая не может быть восстановлена другим путем.

Для резервного копирования обычно используют магнитные ленты. Запись на них осуществляется специальными цифровыми магнитофонами, называемыми стримерами. Объем магнитных кассет составляет от 200 Мбайт до 4 Гбайт. В последнее время стали доступны устройства магнито-оптической дисковой памяти. По надежности и удобству использования они значительно превосходят магнитную ленту. Объем магнитооптических дисков широко варьируются и составляет от десятков мегабайт до нескольких гигабайт.

Если в вашем распоряжении нет ни стримера, ни магнитооптического диска, то во многих случаях достаточно использовать простые дискеты. Конечно запись на дискеты - это самый плохой способ резервного копирования. Во-первых, дискеты имеют очень маленький объем - немногим больше одного мегабайта. Во-вторых, дискеты очень ненадежны. Иногда с них не удается считать ранее записанную информацию.

Одной резервной копии недостаточно. Вы должны иметь несколько резервных копий. Вот небольшой пример. Вы выполняете очередное копирование и вдруг происходит сбой питания или нападение вируса. Компьютер зависает, данные записанные в компьютере и их копия оказываются испорченными

Выполняя резервное копирование, надо быть предельно осторожным. Перед копированием всегда проверяйте целостность копируемой информации. Выполняйте поиск вирусов и проверку файловой системы. Для этого используйте самые последние версии антивирусов и программы типа ScanDisk. Если не соблюдать этого правила, то все резервные копии рано или поздно окажутся испорченными.

В особо ответственных случаях выполняйте циклическое копирование данных. Например, одну копию обновляйте каждый день, вторую - каждую неделю, третью - каждый месяц.

Операционная система Windows 95 предоставляет

Операционная система Windows 95 предоставляет удобные средства для резервного копирования отдельных документов и целых каталогов на дискеты. Для этого достаточно открыть пиктограмму My Computer и перейти в каталог, файлы из которого надо записать на дискеты.

Затем переместите указатель мыши на пиктограмму того файла или каталога, который должен быть скопирован, и нажмите правую кнопку мыши. На экране появится небольшое меню.



Рис. 2.3. Запись каталога Library на дискеты

Выберите из этого меню строку Send To, а затем в открывшемся временном меню укажите дисковод, на котором будет происходить копирование. На рисунке 2.3 мы показали, как надо выполнять копирование каталога Library на дискеты размера 3,5 дюйма.

После того как вы укажете дисковод, начнется процесс копирования. Если для копирования всех файлов каталога одной дискеты окажется недостаточно, операционная система попросит вас вставить следующую дискету.

К сожалению, продемонстрированный нами способ выгрузки не позволяет скопировать на дискеты файлы, размер которых превышает объем самой дискеты. Поэтому скопировать, таким образом, очень большие документы невозможно.

Резидентные и нерезидентные вирусы

Операционная система MS-DOS является однозадачной. В любой момент времени может работать только одна программа. Когда пользователь закончит с ней работать, программа выгружается из оперативной памяти и пользователь может запустить новую программу. Естественно, это не всегда удобно. Например, если вы пишете в текстовом редакторе финансовый отчет, вам может потребоваться калькулятор. Очень неудобно для запуска калькулятора каждый раз завершать текстовый редактор, а потом запускать его снова.

Чтобы как-то смягчить неудобства, вызванные однозадачностью MS-DOS, был создан механизм резидентных программ. При запуске резидентной программы она сразу возвращает управление операционной системе, но оставляет в оперативной памяти резидентный модуль.

Даже если потом запускаются другие программы этот модуль остается в памяти. Затем, когда пользователь нажимает определенную комбинацию клавиш или при другом условии резидентная программа может активизироваться и выполнить некоторую работу.

В качестве примера можно привести программы резидентных калькуляторов. Они могут быть загружены из командной строки операционной системы или из файла AUTOEXEC.BAT и остаются резидентными в памяти. Если пользователь нажимает определенную комбинацию клавиш, на экране появляется панель калькулятора. Пользователь может выполнить любые вычисления и вернуться в свою программу. Резидентные программы могут выполнять и другие действия. Например, они могут выполнять функции будильника.

Механизм резидентных программ, предусмотренный для сугубо мирных целей, был использован авторами вирусов. Обычные, нерезидентные вирусы получают управление и становятся активными только во время запуска зараженной программы. После запуска вирусом настоящей программы, он окончательно теряет управление, до тех пор, пока зараженная программа опять не будет запущена. За это небольшое время вирус должен заразить другие программы и выполнить заложенные в него автором дополнительные функции.

Резидентный вирус, получив управление, оставляет в оперативной памяти компьютера небольшой модуль, который остается активным вплоть до перезагрузки компьютера.
Резидентный модуль вируса может использоваться для решения самых различных задач.

Обычно он применяется для заражения новых программ. Резидентный модуль отслеживает запуск или открытие файлов программ, проверяет, не были ли они уже заражены, и если нет, то заражает их.

Интересно, что если на компьютере, зараженном резидентным вирусом, поражающим выполнимые файлы при их открытии, запустить антивирусную программу, которая не может определить этот вирус, то по окончании проверки окажутся зараженными все проверяемые выполнимые файлы.

Некоторые разновидности вирусов, называемые стелс-вирусами, используют резидентный модуль, чтобы замаскировать свое присутствие. Они могут перехватывать обращения к файловой системе и скрывать изменение длины зараженных файлов. Более подробно о стелс-вирусах вы можете прочитать в разделе “Маскировка вирусов”.

И, конечно, резидентный модуль используется для создания всевозможных спецэффектов. Здесь все зависит от фантазии и знаний, которыми обладает автор вируса. Те, кто попроще, могут испортить данные, записываемые на диск, замедлить работу компьютера. Более изысканные в программировании и менее злобные авторы создают всевозможные видеоэффекты и звуковые композиции.

Любая резидентная программа, и в том числе резидентные модули вирусов, уменьшают объем доступной оперативной памяти. Это изменение можно заметить с помощью команды MEM, входящей в состав операционной системы MS-DOS.

Команда MEM отображает информацию об использовании оперативной памяти компьютера. С помощью нее можно узнать, сколько оперативной памяти установлено на компьютере, сколько памяти занято и сколько свободно для использования:

Memory Type        Total       Used       Free

----------------  --------   --------   --------

Conventional          640K       204K       436K

Upper                   0K         0K         0K

Reserved              384K       384K         0K

Extended (XMS)     15 360K    14 336K     1 024K

----------------  --------   --------   --------



Total memory       16 384K    14 924K     1 460K

Total under 1 MB      640K       204K       436K

Total Expanded (EMS)                1 024K (1 048 576 bytes)

Free Expanded (EMS)                 1 024K (1 048 576 bytes)

Largest executable program size       436K (446 256 bytes)

Largest free upper memory block         0K       (0 bytes)

MS- DOS is resident in the high memory area.

Команда MEM позволяет подробно исследовать резидентные модули, загруженные в память. Для этого при вызове команды ей надо указать дополнительные параметры. Подробное описание команды MEM изложено в десятом томе “Библиотеки системного программиста” - “Компьютер IBM PC/AT, MS-DOS и Windows. Вопросы и ответы”. ‡Здесь мы приведем только основные сведения.

MEM [/CLASSIFY | /DEBUG] [/PAGE]

Если указать дополнительный параметр /CLASSIFY (или /C), то будет представлена информация по каждому резидентному модулю, размещенному в оперативной памяти.

Вместо параметра /CLASSIFY можно указать параметр /DEBUG (или /D). В этом случае будет собрана дополнительная информация о загруженных драйверах.

Команда MEM выводит на экран очень много информации. Так как экран компьютера может одновременно отображать ограниченное количество строк, то выполняется свертка изображения. Дополнительный параметр /PAGE (или /P) позволяет после заполнения очередного экрана выдерживать паузу.

Вирусы могут оставлять в оперативной памяти резидентные модули. Фактически все загрузочные вирусы и большинство файловых вирусов являются резидентными.

Резидентные модули вируса могут затруднить его обнаружение и удаление. Чтобы не дать вирусу шанс получить управление и оставить резидентный модуль в памяти, рекомендуется для проверки компьютера выполнять загрузку с чистой системной дискеты.

Резидентные мониторы

Существует еще целый класс антивирусных программ, которые постоянно находятся в оперативной памяти компьютера, и отслеживают все подозрительные действия, выполняемые другими программами. Такие программы носят название резидентных мониторов или сторожей.

Резидентный монитор сообщит пользователю, если какая-либо программа попытается изменить загрузочный сектор жесткого диска или дискеты, выполнимый файл. Резидентный монитор сообщит вам, что программа пытается оставить в оперативной памяти резидентный модуль и т. д.

Большинство резидентных мониторов позволяют автоматически проверять все запускаемые программы на заражение известными вирусами, тоесть выполняют функции сканера. Такая проверка будет занимать некторое время и процесс загрузки программы замедлится, но зато вы будете уверены, что известные вирусы не смогут активизироваться на вашем компьютере.

К сожалению, резидентные мониторы имеют очень много недостатков, которые делают этот класс программ малопригодными для использования.

Многие программы, даже не содержащие вирусов, могут выполнять действия, на которые реагируют резидентные мониторы. Например, обычная команда LABEL изменяет данные в загрузочном секторе и вызывает срабатывание монитора.

Поэтому работа пользователя будет постоянно прерываться раздражающими сообщениями антивируса. Кроме того, пользователь должен будет каждый раз решать, вызвано ли это срабатывание вирусом или нет. Как показывает практика, рано или поздно пользователь отключает резидентный монитор.

И наконец, самый маленький недостаток резидентных мониторов заключается в том, что они должны быть постоянно загружены в оперативную память и, следовательно, уменьшают объем памяти, доступной другим программам.

В составе операционной системы MS-DOS уже есть резидентный антивирусный монитор VSafe.

Резидентный монитор VSafe

В состав Microsoft Anti-Virus входит резидентный монитор VSafe, позволяющий постоянно контролировать работу компьютера. После загрузки, он будет сообщать пользователю о любых подозрительных действиях программ, которые могут быть вызваны работой вирусов.

Запуск VSafe желательно выполнять в момент загрузки компьютера, поместив его вызов в конце конфигурационного файла AUTOEXEC.BAT, перед запуском командных оболочек типа Norton Commander или операционной системы Windows:

VSAFE.COM

Программе VSafe можно указать несколько параметров, устанавливающих режим его работы. Однако вместо этого есть возможность вызова специальной диалоговой панели, в которой выполняются все настройки программы. Если вы работаете в среде DOS, то для этого надо нажать комбинацию клавиш <Alt + V>. На экране откроется диалоговая панель, показанная на рисунке 3.18.

Рис. 3.18. Диалоговая панель VSafe Warning Options

В этой панели расположен ряд переключателей, управляющих работой монитора. Устанавливая те или иные переключатели, вы определяете какие операции будут контролироваться. Чтобы установить переключатель или сбросить его, надо нажать соответствующую цифровую клавишу. Например, чтобы изменить положение переключателя Resident надо нажать клавишу <2>.

Переключатель		Назначение
HD Low level format		Некоторые вирусы и троянские программы форматируют жесткие диски компьютера. Если переключатель установлен, то попытка отформатировать жесткий диск будет перехвачена и пользователь получит предупреждающее сообщение
Resident		Выдается предупреждение при попытке программы остаться резидентной в памяти компьютера
General write protect		Предупреждение выдается при любой попытке программы выполнить запись на диск
Check executable files		Проверяет целостность выполнимых файлов в момент их запуска. Сравнивается размер, дата создания и атрибуты файла запускаемого файла с информацией, записанной в файле CHKLIST.MS. Когда вы запустите зараженный файл, на экране появится предупреждение и вы сможете заняться лечением этого файла
Boot sector viruses		Устанавливается защита против вирусов, распространяющихся через загрузочный сектор
Protect HD boot sector		Сообщение выдается при попытке записи в загрузочный сектор или таблицу разделов жесткого диска. Изменения в загрузочный сектор и таблицу разделов жесткого диска, как правило, вносят вирусы
Protect FD boot sector		Выдается сообщение при попытке записи в загрузочный сектор дискеты (гибкого диска). Изменения в загрузочном секторе дискеты, как правило, вносят вирусы, которые уже находятся на компьютере
Protect executable files		Выдается предупреждение при попытке изменить выполнимые файлы. Как правило, при нормальной работе операционной системы изменения в выполнимые файлы не вносятся. Такие изменения могут служить сигналом, что данный файл заражен

<
Когда вы закончите установку переключателей, закройте панель VSafe Warning Options, нажав клавишу <Esc>. После перезагрузки компьютера положение переключателей восстановится.

Чтобы каждый раз при загрузке компьютера не менять положение переключателей, их положение можно задавать в командной строке VSafe. Сначала надо указать префикс параметра - символ слеша, затем номер переключателя и символ + или -, в зависимости от того надо включить или выключить переключатель.

Например, чтобы включить контроль за резидентными программами и включить проверку загрузочных секторов, измените вызов VSafe следующим образом:

VSAFE.COM /2+ /6-

Обнаружив, что какая-либо программа пытается нарушить установленную защиту, монитор VSafe немедленно сообщает об этом пользователю. На рисунке 3.19 представлено сообщение монитора о том, что файл MODE.COM изменен. Сообщение появляется в момент запуска файла. Такое изменение часто является результатом заражения программы файловым вирусом. Монитор VSafe позволяет предотвратить нарушение защиты, нажав кнопку Stop. В этом случае программа MODE.COM не будет запущена.



Рис. 3.19. Сообщение монитора VSafe

Если вы работаете в среде операционной системы Windows, вы также можете использовать монитор VSafe. Для этого надо запустить программу VSafe Manager for Windows.

Выполнимый файл VSafe Manager for Windows называется MWAVTSR.EXE и расположен в каталоге MS-DOS. Чтобы приложение VSafe Manager for Windows автоматически запускалось при каждом старте Windows, добавьте его в группу StartUp приложения Program Manager

При запуске приложения VSafe Manager for Windows на экране появляется окно приложения, показанное на рисунке 3.20.



Рис. 3.20. Диалоговая панель Vsafe Manager

Нажмите кнопку Options. Появляется диалоговая панель Vsafe Options (рис. 3.21). В ней расположен ряд переключателей, управляющих работой приложения. Они соответствуют переключателям резидентного монитора VSafe, описанным выше. Через диалоговую панель Vsafe Options можно полностью управлять резидентным монитором VSafe.





Рис. 3.21. Диалоговая панель Vsafe Options

Чтобы при последующих запусках Windows на экране не появлялась диалоговая панель Vsafe Manager, откройте в приложении Program Manager окно группы StartUp и щелкните один раз по пиктограмме Vsafe Manager. Затем нажмите комбинацию клавиш <Alt + Enter>. На экране появится панель Program Item Properties. Установите переключатель Run Minimized. Теперь при загрузке Windows приложение Vsafe Manager будет запускаться в виде пиктограммы.

К сожалению, резидентный монитор VSafe обманется некоторыми вирусами. Так вирус AntiC.1000, заражающий выполнимые файлы, может обнаружить в оперативной памяти резидентный монитор VSafe. В этом случае он выводит небольшой текст - "И даже VSafe тебе не поможет...". Чтобы антивирус не смог обнаружить факт заражения, вирус удаляет с диска файлы, имеющие расширение *.MS. В этих файлах хранится информация  о контролируемых файлах и если она будет удалена, Microsoft Anti-Virus не сможет обнаружить в них изменения.

Чтобы отключить резидентный монитор, удалите пиктограмму Vsafe Manager из группы StartUp и удалите вызов программы VSAFE.COM из файла AUTOEXEC.BAT.

Антивирус Microsoft Anti-Virus позволяет удалить только известные вирусы, информация о которых есть в его базе данных. Новые вирусы появляются постоянно, поэтому версию антивируса необходимо постоянно обновлять.

К сожалению, Microsoft Anti-Virus не может не только удалить, но даже обнаружить полиморфные вирусы типа OneHalf. Из-за этого защита при помощи одного только антивируса Microsoft Anti-Virus недостаточна и необходимо дополнительно использовать другие средства.

Сеанс связи с BBS АО “ДиалогНаука”

Запустите терминальную программу и позвоните с ее помощью по телефону (095)938-28-56 (это телефон линии общего доступа BBS “ДиалогНаука”). Если вам повезло и линия оказалась свободной, через некоторое время вы увидите на экране следующее приглашение:

Address 2:5020/69@fidonet Using BinkleyTerm-OS/2 2.50 EE Beta

E3-32 ISDN

DialogueScience BBS, Line 2

Press <ESC> once for Maximus

Линия общего доступа используется достаточно интенсивно, поэтому с первого раза вы скорее всего обнаружите, что она занята. Для подписчиков на антивирусный комплект АО “ДиалогНаука” имеются еще несколько линий (соответствующие этим линиям номера телефонов есть в документации, которая поставляется вместе с антивирусным комплектом, а также в заставке BBS, приведенной ниже).

Подписчики АО “ДиалогНаука” могут пользоваться привилегированными линиями доступа

Нажмите один раз клавишу <Esc>. На экране появится строка:

Thank you.  Please wait...

Через некоторое время вы увидите заставку BBS (рис. 5.1).

Рис. 5.1. Заставка электронной доски объявлений BBS АО “ДиалогНаука”

В ответ на запрос What is your name вы должны ввести свое имя. После этого вам будет предложено ввести фамилию (What is your LAST name). Если вы работаете с этой BBS в первый раз, можно выбрать любое имя. В следующий раз при подключении вы будете указывать выбранные вами при первом подлючении имя и фамилию. Имеет смысл использовать только настоящие имена, о чем предупреждается в заставке BBS.

Если вы не зарегистрированы, то на экран будет выведено следующее сообщение:

Your name was not found in my user records.  If you are indeed a new user, then answer `Y' to the following prompt, and proceed to log on.

Otherwise, type `N' and enter your name correctly.

NOTE!  Please make sure that your name, as shown below, is capitalized correctly!  Maximus will try to properly capitalize names, if possible, but you must manually enter the correct version of names such as "McDonald".  This is only necessary on your first logon; subsequent logons will use the capitalization which you specify here.

Please,     DON' T USE digits and russian letters in your name;

            DON'T USE name of company you works for registration;

            DON'T USE name as `Mike Mike' or `V. Ivanov';

            DON'T USE aliases.

Alexandr Frolov [Y,n]?

В этом сообщении говорится, что ваше имя не найдено в списке пользователей BBS. Возможно, вы ошиблись при вводе имени. Поэтому вам предоставляется возможность еще раз проверить введенное имя.

В имени нельзя использовать цифры и русские буквы. Не следует также указывать название фирмы, сокращения и псевдонимы.

Далее новый пользователь должен выбрать язык, на котором он будет общаться с BBS (английский или русский):

Select a language:

  1) ENGLISH

  2) RUSSIAN

Select:

В наших примерах мы будем пользоваться английским языком. Если вы собираетесь поступить так же, в ответ на приглашение Select введите число 1. Вы увидите сообщение о том, что выбран английский язык:

English language (proper) selected.

Press ENTER to continue

Для продолжения работы нажмите клавишу <Enter>. Вам будет предложено зарегистрироваться:

Welcome to DialogueScience BBS!

Since you are a new user, you will be asked to enter your city and province, your password, and to select several configuration options.  Keep in mind that these choices are not permanent; you can modify all of these settings from the C)hange menu after you've registered as a new user.

Your SysOp,

Boris Chernivetsky

Please enter your city and state/province: Moscow, Ruusia

Please enter your phone number [(xxx) yyy-zzzz]: (095) ХХХ-ХХХХ

Вы должны ввести название города и свой телефонный номер.

Затем система попросит вас выбрать пароль:

Now, you must choose your password.

A password is one word (with no spaces).  Passwords can be anywhere from 4 to 15 characters long, and can include letters or numbers.

Uppercase and lowercase letters are treated identically.

Tips:

1) Write down your password somewhere (or store it in your terminal program's dialing directory), so you'll remember it for next time.



2) Don' t use the same password on more than one system.  Since the

SysOp of each system you call has access to your password,

there's nothing from stopping them from logging in as you on

someone else's system.

3) For better security, use a long password (at least 6 characters).

Please enter the password you wish to use:

Вы можете выбрать любой пароль длиной от 4 до 15 символов, однако не следует выбирать слишком короткий пароль, а также использовать вместо пароля свое имя, фамилию или год рождения. Лучше всего, если пароль будет содержать смесь букв и цифр. Пароль лучше запомнить и нигде не записывать.

После ввода пароля система попросит вас ввести пароль еще раз для проверки:

Please re-enter your password for verification: ....

Затем вы должны ответить, способна ли ваша терминальная программа работать с ANSI-символами. Эти символы используются для раскрашивания изображения на экране терминала в различные цвета.

Посмотрите внимательно на следующее сообщение, которое появится на экране:

Maximus can optionally send "ANSI codes" to your terminal program.  If your terminal does support ANSI, then you'll be able to use colour in the menu prompts, cursor movement, and other niceties. However, your terminal program must have support for these codes, or else you'll only see a lot of garbage.

If your terminal program has a terminal emulation mode of either "ANSI" or "VT-100", then you should switch to it now.

Here's what ANSI codes look like:

        AAAAA        BBBBB        CCCCC

If you can see a bunch of numbers and square brackets, then your terminal program does NOT support ANSI graphics, and you should answer "N" at the prompt

If there were three blocks of letters, with no intervening numbers, then your terminal program DOES support ANSI, and you should answer "Y" at the prompt.

   To turn *on* ANSI codes, enter........... Y

   To turn *off* ANSI codes, enter..........


N

Does your system support ANSI screen colors [y,n]?

Если строка AAAAA BBBBB CCCCC изображена разными цветами, можете считать, что ваша терминальная программа работает с управляющими символами ANSI. В этом случае вы можете ответить на приведенный выше запрос утвердительно, нажав клавишу <Y>. В противном случае (если вы видите последовательность символов “[->34…”) нажимайте клавишу <N>.

После этого вы увидите следующее приглашение:

Welcome to DialogueScience BBS, Alexandr Froloff!

  DialogueScience BBS

  We design, distribute, and support  the anti-virus programs Aidstest by Dmitry Lozinsky, Doctor Web by Igor Daniloff, ADinf (Advanced Diskinfoscope) by Dmitry Mostovoy, and ADinf Cure Module by Vitaly Ladygin and Denis Zujev (see Area I.2 for terms and conditions of distribution).

To access the lines 938-2969, 939-3705, 939-5239, 938-2867 please inform your registration number and other subscriber details to our system operator.

Press ENTER to continue

Затем проверяется почта. Если вы впервые работаете с BBS АО “ДиалогНаука”, почты для вас скорее всего нет, о чем вы можете узнать из следующего сообщения:

Sorry, but you have no mail waiting.

Press ENTER to continue

Если вы впервые работаете с этой BBS и вас пока нет в списке пользователей, но пытаетесь позвонить по линиям, выделенным специально для подписчиков, вы получите следующее сообщение:

Please, excuse us.  You cannot access this line as it is

exclusively reserved for our subscribers and partners.

In the course of next five minutes you can leave your message with

SysOp (system operator), if you have any complaints about the line.

If you are our BBS subscriber, please inform:

  1) Your organization or your name (for individual users),

  2) Subscriber number or date, and subscription sum paid.

After checking up these data, SysOp will either open the line

to you, or return a refusal message.

To access the public BBS, please call: 938-2856, Fido 2:5020/69.1



Press ENTER to continue

В этом сообщении говорится, что если вы являетесь подписчиком, то вам нужно оставить сообщение системному оператору BBS, в котором следует указать название вашей фирмы или фамилию (для индивидуальных пользователей), номер или дату, когда была сделана подписка, сумму, указанную в платежном поручении. Только после этого вам будет предоставлен доступ к привилегированным линиям доступа для получения последних версий антивирусных программ АО “ДиалогНаука”.

Если вы желаете оставить сообщение системному оператору, ответьте утвердительно на следующий вопрос:

Would you like to leave a message for us [y,N]?

Вслед за этим вам будет предоставлена возможность ввести и отредактировать сообщение. Сообщение нужно обязательно сохранить. Для этого в ответ на только что приведенный вопрос необходимо нажать клавишу <Y>.

Если же вы откажетесь от посылки сообщения, на экране появится девиз дня (эта фраза изменяется каждый день):

Quote for the day:

Whenever I feel like exercise, I lie down until the feeling passes.

Bye, Alexandr.  Please call again!

Вслед за этим модем BBS повесит трубку и сеанс связи будет окончен.

В следующий раз, когда вы вновь позвоните на BBS АО “ДиалогНаука, система “узнает” вас и встретит следующим сообщением:

Thank you for calling DialogueScience BBS, Alexandr.

You are the 6261st caller, and this is your 6th call.

You have uploaded 0K.  You have downloaded 2395K. (UL:DL=0:2395.)

Press ENTER to continue

Среди всего прочего в этом сообщении подводится баланс объемов данных, полученных вами из BBS и записанных в BBS. На некоторых BBS это соотношение определяет уровень и права пользователя, однако в случае BBS АО “ДиалогНаука” оно не играет никакой роли. Вам всегда выделяется 35 минут на один сеанс, но не более 60 минут в сутки.

После ввода имени и пароля у вас запрашивается подтверждение (имя и фамилия, разумеется, будут другие):

Alexandr Frolov [Y,n]?

Если вы все ввели правильно, нажмите клавишу <Y>, а если ошиблись - клавишу <N>.


В последнем случае вам будет предоставлена возможность ввести имя и фамилию повторно.

После ввода имени и фамилии у вас запрашивается пароль:

Password:

В процессе ввода символы пароля заменяются точками.

Далее выполняется поиск почты:

Searching: L1

Searching: L2

Searching: L3

Sorry, but you have no mail waiting.

Press ENTER to continue

Затем вам предлагается выбрать область файлов, из которой вы будете загружать данные:

File area [Area, "["=Prior, "]"=Next, "?"=List]:

Для того чтобы просмотреть список доступных вам областей, введите символ “?”. На экране появится следующее меню (количество и состав строк может быть другим):

File Areas

I                    ... Information

A                    ... Antiviruses

Comm                 ... Communications

UL                   ... Unchecked Users Upload

NV                   ... New Viruses

File area [Area, "["=Prior, "]"=Next, "?"=List]:

Для того чтобы выбрать область, введите ее обозначение, расположенное слева, и нажмите клавишу <Enter>.

В следующем разделе мы расскажем о содержимом перечисленных в этом меню файловых областей.

Сетевые антивирусные программы для Novell NetWare

Разными фирмами были созданы многочисленные антивирусные программы, специально предназначенные для работы в среде сетевой операционной системы Novell NetWare. Эти програмы представляют собой NLM-модули, загружаемые оператором с консоли Novell NetWare или через файл startup.ncf (играющий ту же самую роль, что и файл autoexec.bat в операционной системе DOS).

В чем удобство таких антивирусных программ?

Мы уже говорили, что сканирование сетевых каталогов можно с успехом выполнять при помощи обычных антивирусных программ, предназначенных для отдельных компьютеров, не объединенных в сеть, и рабочих станций, например, при помощи программы Doctor Web. Однако такое сканирование приходится выполнять вручную. Кроме того, для получения доступа ко всем сетевым томам и каталогом в процессе сканирования приходится подключаться к сети с именем высокопривилегированного пользователя (что опасно само по себе).

WorkNet.708

Резидентный вирус.

Пытается обращаться к программному интерфейсу Novell NetWare.

Содержит строку "WORK:NET:".

В то же время специальная сетевая антивирусная программа работает в среде сетевой операционной системы как фоновый процесс, имеющий доступ к любым сетевым ресурсам сервера, на котором она была запущена. Поэтому проверка сетевых каталогов выполняется в автоматическом режиме без вмешательства системного администратора.

Дополнительно все современные сетевые антивирусные программы, предназначенные для запуска в среде сетевой операционной системы, способны автоматически проверять файлы, которые записываются пользователями в сетевые каталоги или читаются с них. В этом случае будут пресекаться попытки пользователей записать на диски файл-сервера программы, зараженные вирусами. Если же окажется, что зараженная программа была записана на сервер раньше (до установки и запуска антивирусной программы), она будет обнаружена при попытке ее запуска или копирования на диск рабочей станции или в другой сетевой каталог.

Результаты сканирования записываются в журнал, который доступен для просмотра системному администратору или другому лицу с аналогичными правами доступа.

Как только вирус будет обнаружен, системный администратор (или другой пользователь, идентификатор которого указывается при настройке антивирусной программы) получает сообщение. Одновременно делается запись в журнале. Доступ к зараженному файлу блокируется, что предотвращает распространение вируса по сети. Дополнительно все зараженные программы могут автоматически переписываться в отдельный каталог для последующего анализа (например, для поиска источника заражения).

Эффективность обнаружения вирусов в значительной степени зависит от актуальности вирусной базы данных, входящих в состав антивирусных средств, а также от способности обнаруживать полиморфные вирусы. Простое сканирование с поиском вирусов по набору сигнатур обычно дает плохие результаты, поэтому современные сетевые антивирусные программы используют эвристические методы обнаружения вирусов.

Постоянно обновляйте версии антивирусных программ (не реже одного ража в неделю или в месяц). Помните, что каждый день появляется несколько новых вирусов

Среди наиболее известных антивирусных программ для Novell NetWare можно назвать следующие: Norton AntiVirus for NetWare, NetShield for NetWare, Central Point AntiVirus for NetWare, LANDesk Virus Protect, Dr. Solomon’s Toolkit for NetWare, SWEEP for Novell NetWare. В самом ближайшем будущем появится антивирусная программа Doctor Web for Novell NetWare, которая войдет в антивирусный комплект АО “ДиалогНаука”.

Выбор велик, хотя можно ожидать, что программа Doctor Web for Novell NetWare будет у нас более эффективна, так как ее вирусная база постоянно обновляется и значительную часть этой базы составляют “отечественные” вирусы.

Как правило, все сетевые антивирусные программы для Novell NetWare состоят из двух компонент: NLM-модуля, который запускается на сервере, и набора программ для рабочей станции, рассчитанных на использование в среде DOS или Microsoft Windows.

Для примера мы расскажем вам о двух сетевых антивирусных программах: Norton AntiVirus for NetWare и NetShield for NetWare.



На рис. 4.13 показана работа NLM- модуля программы Norton AntiVirus for NetWare версии 2.01.



Рис. 4.13. Работа NLM-модуля программы версии 2.01

Запустив этот модуль на сервере (например, с помощью программы удаленного доступа к консоли RCONSOLE.EXE) вы можете управлять ее работой с помощью клавиш <F2>, <F3>, <F4>, <F5> и <F10>.

Клавиши <F2> и <F3> предназначены, соответственно, для разрешения и блокирования работы NLM-модуля. Нажав клавишу <F4>, можно запустить процесс сканирования, который будет выполняться в автоматическом режиме. Клавиша <F5> позволяет остановить сканирование, а клавиша <F10> - выгрузить NLM-модуль антивирусной программы из памяти.

Заметим, что для выполнения любых действий с NLM-модулем антивирусной программы Norton AntiVirus for NetWare тербуется указать имя пользователя, запустившего этот модуль и пароль. Таким образом, если программа была запущена системным администратором, никто другой не сможет ее заблокировать или выгрузить из памяти, отключив таким образом антивирусную защиту файл-сервера.

Окно NLM-модуля антивирусной программы Norton AntiVirus for NetWare разделено на три части.

В области NLM Status отображается текущее состояние модуля (разблокирован или заблокирован, процент загрузки центрального процессора сервера, общее количество проверенных файлов и т. д.

В области Real-time Status отображаются текущие параметры модуля.

И, наконец, в области Last Infected File приведены сведения о последнем обнаруженным зараженном файле. Здесь вы можете увидеть название найденного вируса, идентификатор пользователя, который сделал попытку записать зараженный файл на сервер, дату этого события и путь к зараженной программе, а также действия, выполненные антивирусной программой.

Для управления NLM-модулем антивирусной программы Norton AntiVirus for NetWare системный администратор может использовать специальное приложение, предназначенное для работы в среде Microsoft Windows версии 3.1, главное окно которого показано на рис. 4.14.





Рис. 4.14. Главное окно приложения, предназначенного для управления антивирусной программой Norton AntiVirus for NetWare версии 2.01

Доступ к самым нужным функциям приложения можно выполнять при помощи меню а также органа управления Toolbar, содержащего четыре кнопки Options, Virus List, Console и Activity Log.

Нажав кнопку Console, системный администратор может определить текущее состояние NLM-модуля антивирусной программы, не прибегая к услугам программы RCONSOLE.EXE (рис. 4.15).



Рис. 4.15. Просмотр текущего состояния NLM-модуля антивирусной программы Norton AntiVirus for NetWare

Нажав в главном окне приложения кнопку Activity Log, можно просмотреть содержимое журнала на предмет обнаружения вирусов (рис. 4.16).



Рис. 4.16. Просмотр журнала

Управляющее приложение позволяет указать для NLM-модуля антивирусной программы Norton AntiVirus for NetWare многочисленные параметры, определяющие режимы ее работы (рис. 4.17).



Рис. 4.17. Блокнот настройки параметров NLM-модуля антивирусной программы Norton AntiVirus for NetWare

Выбрав страницу Real-Time Scan, вы можете указать, какие файлы должны сканироваться (файлы программ DOS, прораммные файлы или все файлы, файлы, которые пользователи записывают в сетевые каталоги или переписывают на диски рабочих станций из сетевых каталогов и т. д.). Дополнительно можно сканировать на предмет наличия вирусов память сервера, в которую загружаются NLM-модули, а также память, выделенную операционной системе DOS.

NetBIOS-4340

Резидентный вирус.

Заражает программы с расширением имени COM и EXE.

При определенных обстоятельствах пытается разместить в  памяти дополнительный резидентный модуль, который должен что-то делать в локальной сети с использованием программного интерфейса NetBIOS. Содержит довольно много ошибок. После 1 августа старается вылечить все зараженные файлы.

Страница Default Alerts позволяет указать, кому должно направляться извещение при обнаружении вируса (рис. 4.18).



Рис. 4.18. Выбор действий при обнаружении вируса



Такое извещение может быть направлено всем или только некоторым пользователям, владельцу файла, пользователю, выполняющему обновление файла или системному администратору. Сообщение о том, что в сетевых каталогах обнаружен вирус, может быть выведено на системную консоль сервера Novell NetWare, отправлено по почте MHS или даже передано на пейджер.

Кнопка Virus List в главном окне управляющей программы Norton AntiVirus for NetWare предоставляет доступ к базе данных, содержащей описания вирусов и, что очень важно, рекомендуемые действия при обнаружении вирусов (рис. 4.19).



Рис. 4.19. База данных с информацией о вирусах

Для получения подробной информации о каком-либо вирусе вы должны найти его имя в этом списке и нажать кнопку Info. При этом на экране появится диалоговая панель Virus Information, показанная на рис. 4.20.



Рис. 4.20. Диалоговая панель Virus Information, содержащая описание вируса и рекомендуемые при его обнаружении действия

С помощью группы переключателей Characteristics вы можете узнать, является ли данный вирус резидентным вирусом, стелс-вирусом, использует ли он технологию шифрования и полиморфизм, способен ли он выполнять вредоносные действия при наступлении какого-либо события.

В поле Comments находятся более подробная информация и дополнительные рекомендации. Заметим, что антивирусная программа Norton AntiVirus for NetWare не может вылечить опасный полиморфный вирус One Half (в отличие от программы Doctor Web, входящей в комплект антивирусных средств АО “ДиалогНаука”). Если вы обнаружили такой вирус, вам рекомендуется обратиться в группу технического сопровождения.

Если вы сомневаетесь в успехе лечения, обращайтесь в “Компьютерную скорою помощь”® АО “ДиалогНаука”. В результате неправильного лечения могут быть потеряны важные данные и программы.

Антивирусная программа (рис. 4.21) также имеет в своем составе NLM-модуль, запускаемый в среде сетевой операционной системы Novell NetWare.



Рис. 4.21. Главное окно антивирусной программы McAfee Virus Scanner for NetWare



По своим возможностям эта программа аналогична предыдущей. Ее интерфейс, выполненный в стиле утилит Novell NetWare, привычен и удобен для системных администраторов. С помощью системы вложенных меню можно управлять работой антивирусной программы как непосредственно с консоли файл-сервера, так и с рабочей станции (через программу RCONSOLE.EXE).

На рис. 4.22 показано меню Configuration, с помощью которого вы можете выполнить настройку режимов работы программы McAfee Virus Scanner for NetWare.



Рис. 4.22. Меню настройки режимов работы антивирусной программы McAfee Virus Scanner for NetWare

С помощью строк On-access scanning options и Period-scanning options помимо всего прочего вы можете заставить антивирусную программу проверять файлы, которые пользователи записывают на диски сервера или переписывают из сетевых каталогов на диски своих рабочих станций (рис. 4.23).



Рис. 4.23. Можно использовать автоматическое сканирование файлов, попадающих на диски файл-сервера или читаемых пользователями из сетевых каталогов

Выбрав строку Action when virus found, вы сможете определить действия, которые должна выполнить антивирусная программа при обнаружении вируса (рис. 4.24).



Рис. 4.24. Выбор действий при обнаружении вируса

Зараженный файл может быть удален, перемещен в другой сетевой каталог (недоступный пользователям), или оставлен на месте нетронутым.

С помощью меню Whom to contact (рис. 4.25), которое появляется на экране при выборе строки Contact Options, можно указать список пользователей, которым посылается сообщение о том, что на сервере был обнаружен вирус.



Рис. 4.25. Меню Whom to contact

С помощью строки можно задать список расширений файлов, подвергаемых сканированию (рис. 4.26).



Рис. 4.26. Меню Change extensions scanned, которое появляется при выборе одноименной строки из главного меню программы

Меню Report Option позволяет управлять процессом протоколирования результата сканирования (рис. 4.27).



Рис. 4.27. Меню Report Option

Выбрав из этого меню строку View log file вы сможете просмотреть файл протокола сканирования на экране (рис. 4.28).



Рис. 4.28. Просмотр протокола сканирования сетевых каталогов

Сети с выделенными серверами

В сетях с выделенными серверами один или несколько компьютеров выполняют специальные функции. Они служат только для выделения ресурсов в коллективное пользование со стороны рабочих станций. Как правило, за экраном выделенных серверов пользователи не работают (часто к компьютерам, работающим в роли серверов, вообще не подключают ни клавиатуру, ни видеомонитор). Это повышает устойчивость сети и производительность серверов.

На рис. 4.2 показана конфигурация локальной сети с одним выделенным сервером.

Рис. 4.2. Пример организации сети с выделенным сервером

В этой сети имеется три рабочих станции и сервер с именем source. Выделенный сервер создается (или как еще говорят, генерируется) системным администратором. Он определяет имя сервера, а также имена сетевых ресурсов и права доступа к ним.

В данном случае все пользователи имеют доступ к дисковым томам sys и users, а также к очереди печати laserprn. Эти сетевые ресурсы физически расположены на сервере, однако пользователи могут работать с ними почти также, как и с локальными ресурсами.

Сети с выделенными серверами не предоставляют пользователям возможность получения доступа к ресурсам рабочих станций. Поэтому непосредственное взаимодействие пользователей, работающих, например, над одним проектом, в таких сетях затруднено.

В результате для обмена файлами администратор создает на томах сервера каталоги, доступные всем пользователям на чтение и запись. Такие каталоги - потенциальный способ быстрого распространения вирусов по рабочим станциям сети.

Кроме того, на дисках сервера обычно находятся программы, предназначенные для запуска с рабочих станций. Если в них окажется вирус, он также может “перескочить” на диск рабочей станции, запустившей зараженную программу.

Вирусная защищенность одноранговых сетей зависит от пользователей. В противоположность этому, устойчивость к вирусам сети с выделенными серверами в значительной степени зависит от того, как системный администратор настроил права доступа пользователей к сетевым ресурсам. В нашей книге мы приведем конкретные рекомендации по такой настройке.

Шифрующиеся и полиморфные вирусы

Чтобы затруднить обнаружение, некоторые вирусы шифруют свой код. Каждый раз, когда вирус заражает новую программу, он зашифровывает собственный код, используя новый ключ. В результате два экземпляра такого вируса могут значительно отличаться друг от друга, даже иметь разную длину.

Естественно, вирус может работать только в том случае, если исполняемый код расшифрован. Когда запускается зараженная программа (или начинается загрузка с зараженной загрузочной записи) и вирус получает управление, он должен расшифровать свой код.

Процедура расшифровки не может сама быть зашифрована, в противном случае она не сможет работать. Этим пользуются антивирусные программы, использующие в качестве сигнатуры код процедуры расшифровки.

Тем не менее, авторы вирусов нашли выход из этой ситуации. Для шифрования вирусов они стали использовать не только разные ключи, но и разные процедуры шифрования. Два экземпляра таких вирусов не имеют ни одной совпадающей последовательности кода. Такие вирусы, которые могут полностью изменять свой код, получили название полиморфных. Наиболее известные из них - это Phantom-1, Natas, OneHalf, SatanBug.

Первым полиморфным вирусом считают V2Px.1260. Он был создан Марком Вашбурном (Mark Washburn) в качестве экспериментального вируса. На настоящий момент существует огромное количество полиморфных вирусов. Вот только несколько их названий: Basilisk.1639, CeCe.1994, CeCe.1998, CommanderBomber, Dir-II.TheHndV, Flip.2153, Flip.2343, Flip.2365, Fly.1769, Holms.6161, Invisible.2926, Invisible.3223, RDA.Fighter.5871, RDA.Fighter.5969, RDA.Fighter.7408, RDA.Fighter.7802.

К сожалению, сегодня создавать полиморфные вирусы могут не только программисты, обладающие высокой квалификацией. Существует несколько готовых средств разработки таких вирусов. Они позволяют разрабатывать полиморфные вирусы без понимания того, как последние устроены.

Первым таким средством создания полиморфных вирусов стал Dark Angel MuTation Engine (иногда называется MtE или DAME), созданный болгарским автором вирусов известным, как Dark Avenger.

В состав MuTation Engine входит объектный модуль, который необходимо подключить к создаваемому вирусу, подробная документация и пример его использования. Благодаря MuTation Engine появилось много полиморфных вирусов. Среди них MtE.CoffeeShop, MtE.Darkstar, MtE.Dedicated.

Вслед за MuTation Engine появились еще несколько средств разработки полиморфных вирусов, имеющих различный уровень сложности и сервиса:

·    AWME (Anti WEB Mutation Engine)

·    CLME (Crazy Lord Mutation Engine)

·    DSCE (Dark Slayer Confusion Engine)

·    GCAE (Golden Cicada Abnormal Engine)

·    NED (NuKE Encryption Device)

·    SMEG (Simulated Metamorphic Encryption Generator)

·    TPE (TridenT Polymorphic Engine)

·    VICE (Virogen's Irregular Code Engine)

После появления очередного средства разработки полиморфных вирусов некоторые авторы вирусов создавали на их основе собственные вирусы.

Интересно, что AWME является отечественной разработкой и создан в Казани. По нашим сведениям, AWME ориентирован на противодействие антивирусной программе Doctor Web. Более подробно об этом можно прочитать в разделе “Doctor Web”. AWME распространяется в виде исходного текста на языке ассемблера.

Современные антивирусные средства, например Doctor Web, умеют не только успешно идентифицировать полиморфные вирусы, но также и удалять их из зараженной программы.

Шифрование кода вируса значительно усложняет процесс его исследования. Обычные программы не смогут дизассемблировать такой вирус. Тот, кто отважится разобраться в зашифрованном вирусе, должен будет разбираться с ним, выполняя код вируса команда за командой в пошаговом режиме отладчика.

Широкое использование программ Freeware и Shareware

Помимо фирменного программного обеспечения существуют так называемые бесплатные (Freeware) и условно бесплатные (Shareware) программы. Вы можете свободно копировать и использовать такое программное обеспечение. Программы Shareware отличаются от Freeware тем, что если вы используете их дольше определенного срока и они вам понравились, вы должны отправить их создателю небольшое количество денег, обычно от пяти до двадцати американских долларов.

В качестве Shareware распространяются программы архиваторы, например архиватор ARJ, различные графические пакеты и другие мелкие полезные программы.

Для того чтобы файловый вирус проник в компьютер, достаточно запустить зараженную программу с дискеты или с сетевого диска

Несмотря на свою привлекательность, программное обеспечение Freeware и Shareware может послужить для проникновения вирусов. Это происходит вследствии того, что программы Freeware и Shareware поступают конечному пользователю через длинную цепочку копирований. Существует вероятность, что во время такого копирования программа может быть заражена вирусом.

Поэтому следует по возможности избегать бесплатных и условно бесплатных программ. Особенно это касается тех случаев, когда компьютер используется для выполнения ответственных задач.

Сканирование

Самая простая методика поиска вирусов, заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

Определение сигнатуры вируса довольно сложная задача. Сигнатура не должна содержаться в нормальных программах, не зараженных данным вирусом. В противном случае возможны ложные срабатывания, когда вирус обнаруживается в совершенно нормальной, не зараженной программе.

Конечно, программам-сканерам не обязательно хранить в себе сигнатуры всех известных вирусов. Они могут, например, хранить только контрольные суммы сигнатур.

Антивирусные программы-сканеры, которые могут удалить обнаруженные вирусы, обычно называются полифагами. Самой известной программой-сканером является Aidstest Дмитрия Лозинского. Aidstest выполняет поиск вирусов по их сигнатурам. Поэтому он обнаруживает только простейшие полиморфные вирусы.

В первой главе мы рассказывали о так называемых шифрующихся и полиморфных вирусах. Полиморфные вирусы полностью изменяют свой код при заражении новой программы или загрузочного сектора. Если вы выделите два экземпляра одного и того же полиморфного вириуса, то они могут не совпадать ни в одном байте. Как следствие, для таких вирусов невозможно определить синатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.

Антивирусные программы-сканеры могут обнаружить только уже известные вирусы, которые были предварительно изучены и для которых была определена сигнатура. Таким образом, использование программ-сканеров не защищает ваш компьютер от проникновения новых вирусов.

Для эффективного использования антивирусных программ, реализующих метод сканирования, необходимо постоянно обновлять их, получая самые последние версии.

Сохранение параметров диска и таблицы разделов диска

Прежде чем продолжить исследование файловой системы, мы настоятельно рекомендуем вам записать параметры диска, определенные с помощью программы BIOS Setup, и содержимое таблицы разделов диска. Просто перепишите полученные значения на лист бумаги. Если в ходе ремонта вы случайно разрушите область данных BIOS или главный загрузочный сектор, вы сможете легко восстановить критичные данные.

Сохранение содержимого таблиц логических дисков

На том же листе бумаги, где вы записывали параметры диска и сведения из таблицы разделов диска, запишите информацию о всех логических дисках, полученную из таблиц логических дисков. Если содержимое таблиц логических дисков будет случайно разрушено, вы потеряете доступ к логическим дискам.

Совместное использование Sheriff и других программ комплекта

Чтобы на компьютере, защищенном комплексом Sheriff, запустить остальные программы антивирусного комплекта, их необходимо настроить соответствующим образом. В противном случае защита сработает и компьютер окажется блокирован.

Для настройки ADinf и ADinf Cure Module, откройте в ADinf меню Параметры и выберите из него строку Настройки. На экране появится временное меню. Выберите из него строку Сер. Номер Sheriff и введите пять первых цифр серийного номера вашего экземпляра Sheriff. Например, если Sheriff имеет серийный номер 123450981705763, надо ввести цифры 12345 (рис. 3.12).

Рис. 3.12. Ввод серийного номера Sheriff

Если вы желаете воспользоваться программами Aidstest, Doctor Web, то в командной строке вызова этих программ надо добавить дополнительный параметр /Z и /SH соответственно, указав после него первые пять цифр серийного номера Sheriff:

AIDSTEST C: /Z12345

DRWEB C: /SH12345

Создание системной дискеты

Обычно в компьютере установлены два накопителя на гибких магнитных дисках. Один - для дискет размером 5.25 дюйма, а второй для дискет размером 3.5 дюйма. Операционная система MS-DOS, а также операционные системы Windows, Windows 95, Windows NT и OS/2 присваивают им имена A: и B:. Какой из дисководов имеет имя A:, а какой B:, зависит от аппаратуры компьютера.

Как правило, пользователь может изменить имена дисководов. Для этого необходимо открыть корпус компьютера и переключить несколько разъемов. Если есть такая возможность, то эту работу следует доверить техническому специалисту.

Накопители на магнитных дисках размером 5.25 дюйма постепенно выходят из употребления, поэтому в новых компьютерах устанавливают только один накопитель на гибких магнитных дисках, рассчитанный на дискеты размера 3.5 дюйма. В этом случае он имеет имя A:, диск B: отсутствует.

Загрузить компьютер с помощью системной дискеты можно только с дисковода A:. Таким образом, для изготовления системной дискеты к своему компьютеру вы должны взять дискету соответствующего размера.

Существует множество программ, позволяющих подготовить системную дискету. Такие программы входят в состав всех операционных систем - MS-DOS, Windows 3.1, Windows 95 и OS/2 и др.

Самыми простыми программами для подготовки системных дискет являются команды FORMAT или SYS, входящие в состав операционных систем MS-DOS и Windows 95 и поэтому в первую очередь мы опишем именно их.

---

---