Рассмотрим кратко, как и когда надо применять эти антивирусные программы.
Программа AVP-доктор, в зависимости от версии, позволяет определить до 50 000 различных вирусов. Она имеет два режима работы: через командную строку и полноэкранный интерфейс.
65) Программа-полифаг Doctor Web (Dr.Web) предназначена, прежде всего, для борьбы с полиморфными вирусами, которые сравнительно недавно появились в компьютерном мире. Использование этой программы для проверки дисков и удаления обнаруженных вирусов в целом подобно программе Aidstest. При этом дублированная проверка практически не происходит, так как Aidstest и Dr.Web работают на разных наборах вирусов.
66) Программа Dr.Web может эффективно бороться со сложными вирусами-мутантами, которые оказываются не под силу программе Aidstest. В отличие от нее программа Dr.Web способна обнаруживать изменения в собственном программном коде, эффективно определять файлы, зараженные новыми, неизвестными вирусами, проникая в зашифрованные и упакованные файлы, а также преодолевая "вакцинное прикрытие". Это достигается благодаря наличию достаточно мощного эвристического анализатора.
67) В режиме эвристического анализа программа Dr.Web исследует файлы и системные области диска, пытаясь обнаружить новые или неизвестные ей вирусы по характерным для вирусов кодовым последовательностям. Если таковые будут найдены, то выводится предупреждение о том, что объекты, возможно, инфицированы неизвестным вирусом.
68) Предусмотрены три уровня эвристического анализа. В его режиме возможны ложные срабатывания, т. е. детектирование файлов, не являющихся зараженными. Уровень "эвристики" подразумевает уровень анализа кода без наличия ложных срабатываний. Чем выше уровень "эвристики", тем выше процент наличия ошибок или ложных срабатываний. Рекомендуются первые два уровня работы эвристического анализатора.
69) Третий уровень эвристического анализа предусматривает дополнительную проверку файлов на "подозрительное" время их создания.
70) Некоторые вирусы при заражении файлов устанавливают некорректное время создания, как признак зараженности данных файлов. Например, для зараженных файлов секунды могут иметь значение 62, а год создания может быть увеличен на сто лет.
71) В комплект поставки антивирусной программы Dr.Web могут входить также файлы дополнения к основной вирусной базе программы, расширяющие ее возможности.
72) Программа-полифаг Aidstest
73) Aidstest – это программа, которая умеет обнаруживать и уничтожать более 1 300 компьютерных вирусов, получивших наиболее широкое распространение в России. Версии Aidstest регулярно обновляются и пополняются информацией о новых вирусах.
74) Антивирус-ревизор диска ADinf
75) Ревизор ADinf позволяет обнаружить появление любого вируса, включая стелс-вирусы, вирусы-мутанты и неизвестные на сегодняшний день вирусы.
76) Программа Adinf запоминает:
- информацию о загрузочных секторах;
- информацию о сбойных кластерах;
- длину и контрольные суммы файлов;
- дату и время создания файлов.
77) На протяжении всей работы компьютера программа ADinf следит за сохранностью этих характеристик. В режиме повседневного контроля ADinf запускается автоматически каждый день при первом включении компьютера. Особо отслеживаются вирусоподобные изменения, о которых немедленно выдается предупреждение. Кроме контроля за целостностью файлов, ADinf следит за создание и удалением подкаталогов: созданием, удалением, перемещением и переименованием файлов; появлением новых сбойных кластеров; сохранностью загрузочных секторов и др. Перекрываются все возможные места для внедрения вируса в систему.
78) ADinf проверяет диски, не используя DOS, читая их по секторам прямым обращениям в BIOS. Благодаря такому способу проверки Adinf обнаруживает маскирующиеся стелс-вирусы и обеспечивает высокую скорость проверки диска.
79) Лечащий блок ADinfCureModule – это программа, которая помогает "вылечить" компьютер от нового вируса, не дожидаясь свежих версий полифагов Aidstest или Dr.Wed, которым этот вирус будет известен.
80) Программа ADinf Cure Module использует тот факт, что несмотря на огромные разнообразия вирусов существует совсем немного различных методов их внедрения в файлы. Во время нормальной работы, при регулярном запуске ревизора ADinf он сообщает ADinf Cure Module о том, какие файлы изменились с момента последнего запуска. ADinf Cure Module анализирует эти файлы и записывает в свои таблицы информацию, которая может потребоваться для восстановления файлов при заражении вирусом. Если заражение произошло, то ADinf заметит изменения и снова вызовет ADinf Cure Module, который на основе анализа зараженного файла и сопоставления его с записанной информацией попытается восстановить исходное состояние файла.
3.4.4 Общие сведения об архивации файлов
Одним из наиболее широко распространенных видов сервисных программ являются программы, предназначенные для архивации, упаковки файлов путем сжатия хранимой в них информации.
Сжатие информации – это процесс преобразования информации, хранящейся в файле, к виду, при котором уменьшается избыточность в ее представлении и соответственно требуется меньший объем памяти для хранения.
Сжатие информации в файлах производится благодаря устранению избыточности различными способами, например, за счет упрощения кодов, исключения из них постоянных бит или представления повторяющихся символов или последовательности символов в виде коэффициента повторения и соответствующих символов. Применяются различные алгоритмы подобного сжатия информации.
Сжиматься могут как один, так и несколько файлов, которые в сжатом виде помещаются в так называемый архивный файл (архив).
Архивация (упаковка) – помещение (загрузка) исходных файлов в архивный файл в сжатом или несжатом виде.
Разархивация (распаковка) – процесс восстановления файлов из архива точно в таком виде, какой они имели до загрузки в архив.
При распаковке файлы извлекаются из архива и помещаются на диск или в оперативную память.
Архивный файл – это специальным образом организованный файл, содержащий в себе один или несколько файлов в сжатом или несжатом виде и служебную информацию об именах файлов, дате и времени их создания или модификации, размеров и т. п.
Программами-архиваторами называются программы, осуществляющие упаковку и распаковку файлов.
Целью упаковки файлов обычно является обеспечение более компактного размещения информации на диске, сокращение времени и соответственно стоимости передачи информации по каналам связи в компьютерных сетях. Кроме того, упаковка в один архивный файл группы файлов существенно упрощает их перенос с одного компьютера на другой, сокращает время копирования файлов на диски, позволяет защитить информацию от несанкционированного доступа, способствует защите от заражения компьютерными вирусами.
Самораспаковывающийся архивный файл – это загрузочный исполняемый модуль, который способен к самостоятельной разархивации находящихся в нем файлов без использования программы-архиватора.
Самораспаковывающийся архив получил название SFX-архив. Архивы такого типа в MS-DOS обычно создаются в форме .EXE-файла.
Степень сжатия файлов характеризуется коэффициентом Kc, определяемым как отношение объема сжатого файла Vc к объему исходного файла Vo, выраженное в процентах:
Степень сжатия зависит от используемой программы, метода сжатия и типа исходного файла. Наиболее хорошо сжимаются файлы графических образов, текстовые файлы и файлы данных, для которых степень сжатия может достигать 5–40 %, меньше сжимаются файлы исполняемых программ и загрузочных модулей – 60–90 %. Почти не сжимаются архивные файлы. Программа для архивации отличается используемыми методами сжатия, что соответственно влияет на степень сжатия.
Большие по объему архивные файлы могут быть размещены на нескольких дисках (томах) и называются многотомными. Том – это составная часть многотомного архива. Создавая архив из нескольких частей, можно записать его части на несколько дискет.
В настоящее время применяется несколько десятков программ-архиваторов, которые отличаются перечнем функций и параметрами работы, однако лучшие из них имеют примерно одинаковые характеристики. Из числа наиболее популярных программ можно выделить ARJ, PKPAK, LHA, ICE, HYPER, ZIP, PAK, ZOO, EXPAND, разработанные за рубежом, а также отечественные AIN и RAR. Обычно упаковка и распаковка файлов выполняется одной и той же программой, но в некоторых случаях это осуществляется разными программами, например, программа PKZIP производит упаковку файлов, а PKUNZIP – распаковку файлов.
Программы-архиваторы позволяют создавать архивы, для извлечения из которых содержащихся в них файлов не требуются какие-либо программы, так как сами архивные файлы могут содержать программу распаковки и называются самораспаковывающимися.
Многие программы-архиваторы производят распаковку файлов, выгружая их на диск, но имеются и такие, которые предназначены для создания упакованного исполняемого модуля (программы). В результате такой упаковки создается программный файл с теми же именем и расширением, который при загрузке в оперативную память самораспаковывается и сразу запускается. Вместе с тем возможно и обратное преобразование программного файла в распакованный формат. К числу таких архиваторов относятся программы RKLITE, LZEXE, UNP.
Управление программой-архиватором осуществляется одним из двух способов: