Принцип работы ADinf основан на сохранении в таблице копии MASTER-BOOT и BOOT секторов, список номеров сбойных класте - ров, схему дерева каталогов и информацию о всех контролируемых файлах. Кроме того, программа запоминает и при каждом запуске проверяет, не изменился ли доступный DOS объем оперативной памяти (что бывает при заражении большинством загрузочных вирусов), количество установленных винчестеров, таблицы параметров винчестера в области переменных BIOS.
При первом запуске программа запоминает объем оперативной памяти, находит и запоминает адрес обработчика прерывания Int 13h в BIOS, который будет использоваться при всех последующих проверках, и строит таблицы для проверяемых дисков. При этом проверяется, показывал ли вектор прерывания 13h в BIOS перед загрузкой DOS. При последующих запусках ADinf проверяет объем оперативной памяти, доступной DOS, переменные BIOS, загрузочные сектора, список номеров сбойных кластеров (так как некоторые вирусы, записавшись в кластер, помечают его, как сбойный,чтобы их не затeрли другие данные, а также не обнаружили примитивные антивирусы). К тому же антивирус ищет вновь созданные и уничтоженные подкаталоги,новые, удаленные, переименованные, перемещeнные и изме - нившиеся файлы ( проверяется изменение длины и контрольной суммы ). Если ADinf обнаружит, что, изменился файл из списка неизменяемых, либо в файле произошли изменился без изменения даты и времени, а также наличие у файла cтранной даты ( число больше 31, месяц больше 12 или год больше текущего ) или времени ( минут больше 59, часов больше 23 или секунд больше 59 ), то он выдаст предупреждение о том, что возможно заражение вирусом.
Если обнаружены изменения BOOT-секторов, то можно в режиме диалога сравнить системные таблицы, которые были до и после изменения, и по желанию восстановить прежний сектор. После восстановления измененный сектор сохраняется в файле на диске для последующего анализа. Новые сбойные кластеры (вернее информация о них в FAT) могут появиться после запуска какой-либо утилиты, лечащей диск ( например NDD ) или благодаря действиям вируса. Если ADinf выдал сообщение,
а пользователь не запускал никаких подобных утилит, то скорее всего в компьютер забрался вирус. При получении такого сооб - щения следует продолжить проверку, внимательно следя за всеми сообщениями об изменениях файлов и загрузочных секторов. Если в системе действительно вирус, то такие сообщения не заставят себя долго ждать(ведь если все тело вируса будет находиться в "сбойном" кластере, ему никогда не передастся управление).
СВОДНАЯ ТАБЛИЦА ОПИСАННЫХ АНТИВИРУСНЫХ ПРОГРАММ
| ИМЯ | AIDSTEST | DR.WEB | AVSP | ADINF | MSAV | |||||
| Фильтр | ||||||||||
| Доктор | ||||||||||
| Ревизор | ||||||||||
| Детектор | ||||||||||
| Поддержка мыши | - | + | + | + | + | |||||
| Оконный интерфейс | - | + | + | + | + | |||||
| Обнаружение Stealth вирусов | - | - | + | + | + | |||||
| Обнаружениенеизвестныхвирусов | - | + | + | + | + | |||||
| Время работы при задании соответств.режимов | /g/s | /a/s2/v/o/u | качество*всефайлы | по ум-олчанию | по умол-чанию, сконтрол.суммами | |||||
| 2.5 мин | 23мин | 4-11мин | 1 мин | 1мин20 сек | ||||||
Сноски таблицы:
* - Файлы с расширениями com,exe,ov?,bin,sys.
ПОСЛЕСЛОВИЕ
На мой взгляд, из всех отечественных программ, рассмотренных здесь ADinf является самой полной, логически завершенной антивирусной системой. Остальные программы находятся, как бы в стадии развития. Программы-фаги, в принципе, не могут достигнуть логического завершения, так как должны развиваться, чтобы противостоять новым вирусам, хотя Dr.Web уже пошел по пути усовершенствования интерфейса. Высок потенциал у программы AVSP, которая при соответствующей доработке ( уп - рощении алгоритмов поиска стелс-вирусов, введении низкоуровневой защиты, улучшении интерфейса ) может занять высокие позиции в среде антивирусов.
СПИСОК ЛИТЕРАТУРЫ
1. В.Э.Фигурнов "IBM PC для пользователя". 1993 г.
2. Ф.Файтс, П.Джонстон, М.Кратц "Компьютерный вирус: проблемы и прогноз". 1993 г.
3. Н.Н.Безруков "Классификация компьютерных вирусов MS-DOS и методы защиты от них". 1990 г.
6. Документации на антивирусные программы.
7. Собственный опыт.