Жанр: Учеба
Компьютерная вирусология ч. 1
...местной.
10.4.8.3. Оценки и рекомендации жюри по сторожам и вакцинам
10.4.8.3.1. S B M и C H E C K 2 1
Достоинства SBM и CHECK21. Элегантная и оригинальная идея, лежащая
в основе программы. Эффективное блокирование всех известных
файловых вирусов. Отсутствие помех пользователю при работе.
Недостатки SBM. Не выдает никаких сообщений, что не позволяет
обнаружить наличие зараженных програм проходившая испытания версия
SBM неправильно обрабатывает случай снятия программы по CtrlBreak.
Имеет совершенно неудовлетворительную документацию. Отсутствует
файл со списком исключений (он необходим, чтобы не выдавать "лишние"
сообщения для "нормальных" программ, перехватывающих прерывание
21h, например LEXICON или Turbo C).
Недостатки CHECK21. Хотя СНЕСК21 выдает достаточно информативные
сообщения, он не имеет режима их отключения. Не поддерживается
файл исключений.
Следует отметить, что с момента окончания конкурса авторы уже
выпустили ряд новых версий, в которых безусловно улучшили надежность,
спектр распознаваемых вирусов и функциональные возможности
своих программ (последние версии, в частности, проводят самотестирование
и проверяют наличие в памяти резидентных вирусов после
своего запуска).
Среди полифагов, разработанных после окончания конкурса, следует
отметить AV И.В.Сысоева и Kxx Е.Н.Сусликова. В отличие от AIDSTEST
и DOCTOR, они написаны на ассемблере. Особый интерес представляет
полифаг Kxx, который является первой реализацией незаражаемого полифага
и использует ряд оригинальных алгоритмов. При сравнимых
функциональных возможностях обе эти программы очень компактны и
имеют достаточно удачный набор режимов работы.
Применяя антивирусные программы на разных ЭВМ в реальных условиях,
пользователи часто сталкиваются с ошибками и неточностями работы,
воспроизвести которые в ходе тестирования не всегда удается
(например, интерференция между резидентными фильтрами и другими
резидентными программами), ошибками при выполнении тех или иных
действий (например, для фага - уничтожение программ при "выкусывании"),
побочными эффектами и другими особенностями той или иной
антивирусной программы. Эта информация имеет огромную ценность как
для авторов, которые заинтересованы в совершенствовании своих
программ, так и для объективной оценки программы. Значительная
часть ее не может быть получена в ходе тестирования и анализа этой
же программы в экспериментальной обстановке. Ваши мнения, предложения
или дополнительную информацию по программам, упомянутым в
данной работе, а также всем программам, публикуемым в бюллетене
СОФТПАНОРАМА, высылайте автору. Наиболее интересные из них будут
помещены в раздел FORUM бюллетеня.
10.5. Отдельные приемы защиты
"Привычка - вторая натура"
Латинская пословица
В данный раздел включены некоторые приемы, которые хотя и носят
вспомогательный характер, в то же время достаточно важны для того,
чтобы предпринять специальные меры по их выделению из массы приводимого
материала.
10.5.1. Регулярно оптимизируйте винчестер
Как уже указывалось, периодически следует оптимизировать расположение
файлов на винчестере с помощью утилиты SpeeDisk Нортона
или другой аналогичной утилиты. Эту операцию целесообразно проводить
не реже раза в месяц, сразу после выгрузки содержимого винчестра
на дискеты (создания главного архива). в процессе оптимизации
файлы можно расположить на диске таким образом, чтобы наиболее
часто используемые находились ближе к началу диска. Для этой цели
можно скорректировать поле даты таким образом, чтобы у наиболее
часто используемых файлов дата создания была меньше, чем у используемых
редко, а затем задать режим упорядочения файлов по дате.
Помимо этого SpeeDisk позволяет также задать порядок расположения
каталогов и имена нескольких наиболее часто используемых файлов.
Ежедневно перед окончание работы следует проводить "уборку винчестера"
є дефрагментацию созданных файлов. После дефрагментации
все файлы занимают последовательные группы кластеров, что существенно
облегчает их восстановление даже в случае тяжелых повреждений
управляющих блоков.
10.5.2. Прятать новые версии антивирусных программ просто
невыгодно
"Что ты спрятал , то - пропало.
Что ты отдал, то - твое"
Ш.Руставели
Получив новую, более эффективную антивирусную программу, некоторые
не стремятся передать ее другим пользователям, рассматривая ее
наличие как некоторое преимущество. Ошибочность политики "примитивного
эгоизма" в случае антивирусных программ состоит в том,
что, передав программу всем своим знакомым, Вы как бы создаете дополнительную
зону защиты, на которой тот или иной вирус может быть
обнаружен и изолирован еще до попадания на Вашу ЭВМ. Поэтому бескорыстная
передача новых версий антивирусных программ представляет,
по сути, политику "разумного эгоизма": за Ваше более безопасное
положение Вы отдаете чужие, доставшиеся Вам бесплатно
программы, да еще и получаете причитающуюся Вам долю уважения за
кажущееся бескорыстие этих действий.
10.5.3. Нормальное состояние дискеты - защищенное от записи
Существенным конструктивным дефектом 5-дюймовых дискет является
необходимость заклейки выреза клейкой фольгой для защиты от записи.
При этом фольга, как и сами дискеты является дефицитом. Тем не
менее, рекомендуется считывать информацию с дискеты, в особенности
на "чужих" машинах, только с защищенных от записи дискет. Вообще
нормальным состоянием дискеты является "заклеенное" и защита должна
сниматься только в случае записи на нее информации. В условиях
дефицита наклеек из фольги, для этой цели можно использовать "самодельные",
состоящие из полоски фольги, наклеенной на прозрачную
липкую ленту (SCOTCH) или темную изоленту. В случае, когда у вас
на машине не оказалось наклейки, а Вам нужно защитить дискету от
записи можно сложить пополам полоску бумаги, так чтобы она закрывала
соответствующую прорезь и аккуратно вставить ее в дисковод
вместе с дискетой.
10.5.4. Как работать на зараженном файловым вирусом компьютере
при отсутствии вакцины
Иногда необходимо работать на компьютере, который постоянно инфицируется
любителями компьютерных игр или по каким-то другим причинам.
В этом случае можно избежать заражения используемых программ
путем создания искусственной мишени для вируса. Поскольку
подавляющее большинство файловых вирусов заражает программу при ее
запуске, можно обмануть вирус двумя основными способами.
Во-первых, можно предварительно переименовать все файлы типа COM
и EXE (например, в PGM и LNK) и использовать для их запуска на выполнение
виртуальный диск. При этом достаточно написать простые
BAT-файлы, в которых программа сначала копируется на виртуальный
диск, затем переименовывается, выполняется и удаляется. При отсутствии
достаточного количества оперативной памяти для организации
виртуального диска требуемого размера, для этой цели можно использовать
один из разделов винчестера, хотя это несколько
замедляет работу.
Более высокую степень защиты обеспечивает модификация этого способа,
основанная на свертке каталога архиватором. При этом процедура
запуска аналогична предыдущей, однако на первом шаге BAT-файла
вместо копирования соответствующий файл сначала разархивируется
на виртуальный диск (или раздел винчестера). Преимуществом этого
способа (если держать архиватор на виртуальном диске) является
экономия места на диске, а недостатком - увеличение времени поиска
программ при загрузке, связанное с просмотром архива. Автор разработал
последний способ после одного неудачного эксперимента с вирусом
RСЕ-1800, когда "вырвавшийся на свободу" вирус заразил несколько
десятков файлов на винчестере (никакими специальными ЭВМ
для экспериментов автор не располагает, поэтому все эксперименты
проводятся "с риском для винчестера" на обычном персональном
компьютере коллективного пользования). Вместе с тем, данный способ
оказался достаточно удачным и с тех пор широко используется автором
для экономии места на винчестере.
Особенно полезен данный способ для мелких, сравнительно редко
используемых программ, если на используемой машине установлен винчестер
размером 20M или меньше. В этом случае на винчестере создается
рабочий каталог (например, WORK), в который выполняется разархивирование.
Этот каталог включается в PATH перед каталогом
BAT, а в Norton Commander (или другую используемую оболочку) включается
команда очистки этого каталога. Поскольку из каталога WORK
разархивированная программа не удаляется, то дополнительное время
на разархивацию тратится только при первом обращении к программе.
Конечно, следует предусмотреть соответствующий BAT-файл для запуска
программы (в простейшем случае это может быть BAT-файл RUN, которому
в качестве первого параметра передается имя выполняемой
программы.
Для "монстрообразных" программ (например, программ, написанных
на Clipper'е) более удобно использование архиватора LZEXE (см. СП
2-9). Например, программа PCTools занимает на диске около 200K,
половину из которых можно сэкономить, сжав ее с помощью LZEXE.
10.5.5. При хранении антивирусных программ на винчестере,
используйте архивирование
При хранении антивирусных программ в виде специального каталога
на винчестере желательно свернуть их в архив, а перед использованием
разархивировать на виртуальный диск или в тот же каталог, а
затем удалять. Это позволяет избежать заражения антивирусных программ,
не обладающих средствами самотестирования на зараженность,
новыми типами вируса, которые, естественно, ими не детектируются
(в лучшем случае может быть выдано предупреждающее сообщение).
10.5.6. Использование макетов программ типа DUMYxxxx для
определения место нахождения спрятанных байтов
В ряде случаев приходится "лечить" файлы вручную, используя
только редактор двоичных файлов (например, RED). В этом случае
первостепенное значение имеет выяснение расположения "спрятанных"
вирусом байтов. В частности, для COM-файлов в большинстве случаев
достаточно восстановить первые три байта, чтобы дезактивировать
вирус. При наличии некоторых навыков, после проверки правильности
работы дезактивированной программы можно легко удалить тело вируса
редактором.
При определении местонахождения спрятанных байтов удобно использовать
"неразборчивость" вирусов, которые не проверяют, какие файлы
им "подсовывают для заражения". Поэтому вместо настоящего можно
создать файл, состоящий из одинаковых символов и заразить его изучаемым
вирусом. Поскольку в простейшем случае этот файл неисполняемый,
то в случае резидентного вируса, заражающего запускаемые на
выполнение программы, после заражения MS DOS зависнет и Вам придется
перегрузиться. Однако зараженный файл сохранится и окажет
неоценимую помощь при анализе. Обычно достаточно нескольких экспериментов,
чтобы определить местонахождение "спрятанных байтов".
Это позволяет выяснить их местонахождение без дисассемблирования.
Немного зная ассемблер, можно легко сделать и исполняемый макет,
состоящий из требуемого количества команд NOP (однобайтовая команда
с кодом 90h) и выхода с помощью INT 20 или INT 21-4C. Некоторые
вирусы заражают только файлы, начинающиеся с команды перехода. В
таких случаях необходимо поставить в качестве первой команды команду
JMP. Для создания таких дрозофил удобно использовать программу
DEBUG, входящую в состав MS DOS. Техника работы с этой програмой
подробно описана во всех учебниках по языку Ассемблера для
IBM PC.
10.6. Методика восстановления информации
"Ничего не потеряно,
пока не потеряно все"
Пословица
Необходимо отметить, что даже в достаточно тяжелых случаях,
восстановление поврежденной информации чаще всего возможно (по
крайней мере, частичное), однако требует достаточно высокой квалификации.
Именно в этот момент "вступают в игру" архивированные
системные блоки, наличие которых на дискете позволяет существенно
облегчить восстановление.
Наряду со свежими архивными копиями системных блоков в такой ситуации
важное значение имеет наличие системных программистов, способных
оценить характер и объем повреждения, а также умеющих выполнить
восстановление при разрушенных или отформатированных
системных блоках или других массивных повреждениях файловой системы.
При отсутствии собственных системных программистов, представляется
оправданным приглашение их со стороны. Профессиональные организации
программистов, подобные Киевскому обществу системных
программистов, также могут оказать помощь в восстановлении информации.
В других городах также можно найти системных программистов
или организацию, которая, на льготных условиях может предоставить
какие-то дополнительные услуги по восстановлению информации.
Конечно степень усилий во многом зависит от ценности потерянной
информации. В силу ограниченности обьема книги остановимся лишь на
наиболее общих принципах организации восстановления информации.
10.6.1. Создайте и отработайте план восстановления винчестера !
"Кто приготовился к бою,
тот его наполовину выиграл"
М.Сервантес
Встреча с каким-нибудь коварным компьютерным вирусов может и не
состояться. Но огорчаться не стоит. Экстемальных ситуаций в программировании
хоть отбавляй и место вируса наверняка не окажется
вакантным. Поэтому вопрос не в том, потеряете ли вы данные, записанные
на винчестер, а лишь в том, когда это произойдет. Следовательно
уже сейчас стоит подумать над вопросом о том, как реагировать
на это неприятное событие, которое обычно случается в самый
неподходящий момент. Результаты ваших раздумий следует оформить в
виде папки с документами ("горячая папка") и коробки с дискетами
("горячая коробка"), которые вместе мы будет называть "планом
восстановления винчестера".
Первая компонента плана є "горячая папка" должна содержать всю
информацию, необходимая для восстановления винчестера. Для машин
типа AT на лицевую сторону обложки следует наклеить распечатку содержимого
CMOS-памяти, полученного с помощью программы SysInfo,
входящей в 5 версию утилит Нортона или с помощью другой подходящей
утилиты. На обратную сторону папки удобно наклеить распечатку
PARTITION TABLE, всех логических дисков. Ее можно получить с помощью
Norton Utilities. На обороте папки карандашем удобно записывать
даты создания архивов логических дисков и имена файлов с протоколами
архивирования. В самой папке следует хранить распечатку
последних версий AUTOEXEC.BAT и CONFIG.SYS, а также тетраль, в которой
записаны необходимые шаги по восстановлению основных каталогов
и комментарии к ним (с указанием встретившихся трудностей и
"топких" мест). В папке также желательно хранить распечатку каталогов
всех логических дисков винчестера и каталогов всех дискет
"горячей коробки".
Горячая коробка должна состоять из лучших дискет, которыми вы
располагаете (желательно 1.2M, если на машине установлен соответствующий
дисковод). Эти дискеты должны быть проверены и не содержать
сбойных треков. Примерный состав "горячей коробки":
1. Дискета с стартовой операционной системой. Если вы используете
DISK MANAGER или ADM, то дискета со стартовой операционной системой
должна включать в CONFIG.SYS соответствующий драйвер. Если
на компьютере установлен дисковод 1.2M, то стартовая дискета должна
быть именно 1.2M, а не 360K, как это часто бывает. При загрузке
операционной системы со стартовой дискеты, необходимо предусмотреть
организацию электронного диска размером в 200К при обьеме
оперативной памяти в 640K, или 384K при обьеме оперативной памяти
в 1M. В процессе загрузки на этот электронный диск должен переписываться
командный процессор и Norton Commander с тем, чтобы не
приходилось держать на каждой дискете копию командного процессора.
Все EXE-файлы на стартовой дискете целесообразно сжать архиватором
LZEXE. В случае дискеты 360K полезно преобразовать в EXE-формат и
сжать COM-файлы. Ввиду особой важности, целесообразно иметь две
идентичные копии стартовой дискеты.
2. Дискеты с утилитами. На эти дискеты рекомендуется записать
Norton Utilities версии 5 и PCTools. Если дискеты имеют обьем
меньший 1.2M, то все нужные программы можно разместить на двух
дискетах.
3. Дискета с программами разметки винчестера и установки используемого
дискового драйвера. На данной дискете целесообразно разместить
соответствующие программы (ADM, DISK MANAGER, SpeedStore и
т.д.) и текстовый файл с планом разбиения винчестера.
4. Дискета с резервными копиями управляющих блоков. Эта дискета
должна иметь подкаталоги С, D, E и т.д., в каждом из которых следует
хранить управляющие блоки относящиеся к данному диску. Файлы
с резервными компиями управляющих блоков проще всего следать с помощью
программы DiskEdit версии 5 утилит Нортона. При этом MBR
можно записать в файл MBR.BIN, бутсектор в файл BOOT.BIN, а затем
сделать их распечатки. Программа DiskTool версии 5 утилит Нортона
позволяет создать объединенные дампы MBR и бутсекторов всех логических
дисков, которые следует записать в корневой каталог данной
дискеты. Она также выполняет дамп СМOS. Помимо указанных статических
управляющих блоков, которые достаточно записать на дискету
один раз, необходимо периодически записывать на эту дискету дампы
FAT и главного каталога. Для этой цели удобно использовать файлы,
создаваемые программой Image на диске. Их следует скопировать в
соответствующий подкаталог дискеты с помощью Norton Commander или
другой аналогичной оболочки.
5. FASTBACK PLUS и протоколы выгрузки для каждого логического
диска.
6. Программы тестирования оборудования.
7. Электронный справочник TechHelp фирмы
План восстановления винчестера должен быть реально отработан хотя
бы один раз. Для этой цели целесообразно устроить "учебную тревогу"
- после полной выгрузки информации на дискеты стереть вручную,
скажем главный каталог винчестера, предварительно создав его
копию на диске в помощью программы Image из 5 версии утилит Нортона
и записав на дискету программу восстановления (Unformat). Наверняка
уже на начальных шагах восстановления обнаружится ряд
серьезных проблем, преодаление которых приведет к существенному
уточнению первоначального плана. Зато в кризисной ситуации "полетевшего
винчестера" можно будет действовать более спокойно и уверенно,
зная, что все нужные программы записаны на дискеты и архив
успешно восстанавливался.
10.6.2. Если что-то случилось - избегайте поспешных действий
"Утро вечера мудренее"
Пословица
При обнаружении вируса и, в особенности, при уничтожении им какой-то
информации очень важно не предпринимать поспешных действий,
и, прежде всего не запускать никаких программ с винчестера и не
записывать на диск новой информации. Рекомендуется сначала "остановиться,
оглядеться, перегрузиться с дискеты", поскольку при этом
существенно повышаются шансы того, что уничтоженная информация может
быть восстановлена в полном объеме. Даже если диск отформатирован,
содержащаяся на нем информация может быть в ряде случаев
восстановлена. При обнаружении каких-то повреждений информации или
файловой структуры запуск любых программ, записывающих информацию
на винчестер, является грубой ошибкой, обычно существенно увеличивающей
количество потерянной информации.
В случае вирусов поспешное восстановление обычно приводит не
только к потере части файлов, но и к повторному заражению. Характерным
примером непродуманных поспешных действий является реакция
некоторых пользователей на ложное сообщение сторожа FluShot Plus о
попытке модификации CMOS ("экзотический" тип памяти для машин типа
AT). Вместо выяснения ситуации, которая является редкой и связана
с типом памяти, назначение которой далеко не все отчетливо себе
представляют, такие пользователи "доверчиво" отвечают на запрос
FluShot - восстановить (правильный ответ - игнорировать), что приводит
к затиранию CMOS-памяти без помощи вируса. Вместе с тем,
"экзотичность" ситуации делает вполне оправданным телефонный звонок
специалисту, на который достаточно потратить 5-10 мин, что
позволяет в большинстве случаев избежать неприятных последствий.
Другим примером является использование Norton Disk Doctor версии
4.5 при восстановлении информации на винчестре. В ряде случаев,
особенно при использовании дисковых драйверов, использующих нестандартный
формат MBR, его применение может давать непредвиденные
результаты. Кроме того, если указанной программой восстанавливается
сектор, содержащий каталог, то хотя его содержимое переносится
в другой кластер, ссылка в родительском каталоге продолжает указывать
на старый кластер, что может вызывать эффект "двоящегося каталога".
Эти недостатки устранены в версии 5.0 утилит Нортона.
Не рекомендуется начинать восстановление винчестера "сразу после
события" или во второй половине дня. Поскольку часть информации
так или иначе пропала и потери времени неизбежны, лучше всего
прекратить работу в этот день и заняться чем-нибудь другим. Не исключено,
что за это время в голову придет какая-нибуль удачная
идея, которая позволит существенно уменьшить обьем работы по восстановлению.
10.6.3. Советы по восстановлению информации
Прежде чем начать восстановление информации на диске восстановите
CMOS, MBR и бутсектор. Используя файлы, записыванные в базе
данных восстановления с помощью программы DiskTool 5 версии утилит
Нортона восстановите указанные блоки. MBR и бутсектор относятся к
статическим управляющим блокам и внесение изменений в них фактически
возможно только при переразметке винчестера. CMOS имееет динамические
поля (дата и время) однако их значение некритично. Этот
прием обеспечивает заведомо правильное значение типа винчестера в
CMOS, границы логических дисков и параметры разметки (количество
секторов в кластеле и и другая информация из бутсектора). При этом
файлы из которых вы производите воссстановление должны принадлежать
данному винчестеру и компьютеру, иначе можно "наломать дров".
Затем следует проверить правильность восстановления CMOS, MBR и
бутсектора визуально.
Если компьютер загружается с дискеты, но винчестер не читается,
то сначала оцените обьем повреждений. Первое, что нужно следать в
данном случае є это промотреть управляющие блоки и определеить
степень их повреждения. Если блоки читаются и информация в них не
слишком искажена, то соответствующие сектора диска следует записать
в виде файлов на дискету с помощью Norton Utilities и распечатать
дамп утилитой TDUMP или какой-нибудь аналогичной. Помимо
визуального сравнения, рекомендуется получить протокол различий
имеющегося и эталонного MBR, бутсектора, FAT и корневого каталога.
Это можно сделать с помощью утилиты FC, входящей в MS DOS. Затем
следует запустить Norton Disk Doctor II и записать выдаваемую им
диагностику. К выдаваемым сообщениям следует относиться критично.
Никаких действий по исправлению до подтверждения "диагноза" по
другим источникам разрешать не следует.
Перед началом восстановления выполните съем информации на дискеты.
Выполнив съем информации на дискеты с помощью DiskEdit, можно
более уверенно работать, не боясь окончательно испортить информацию.
При наличии более мощного компьютера, восстановление информации
удобнее проводить на нем, записав выгруженные сектора в виде
файла, а затем создав дополнительный каталог, восстанавливать цепочки
в FAT. Конечно для этой цели выделить отдельный рабочий диск
или выгрузить один из имеющихся разделов винчестера, поскольку
операции с FAT лучше проводить на "чистом" диске.
Если компьютер не загружается с дискеты, переставьте винчестер
на другой компьютер с подходящим контроллером. Если вышел из строя
какой-то блок компьютера, то винчестер можно переставить на другой
компьютер и прочитать информацию там. Если это не представляется
возможным, то лучше снять винчестер с данной машины и переставить
его на время восстановления на более мощный компьютер.
При большом объеме работ по восстановлению доукомплектуйте
компьютер еще одним винчестером или дисководом. Если предстоит
большая и сложная работа по восстановлению информации, то нельзя
пытаться следать ее "наскоком". Нужно обязательно провести подготовительную
работу. В частности, на время восстановления полезно
доукомплектовать компьютер вторым винчестером (желательно аналогичного
типа) и дисководом 1.2M. В наших условиях, в качестве дополнительного
винчестра обычно подойдет 20M винчестер с какойнибудь
вышедшей из строя Мазовии или Правца. Это существенно
упрощает вызов необходимых программ и хранение промежуточной информации
во время восстановления.
Некоторые приемы работы на компьютере с одним дисководом. Каждый,
кому приходилось восстанавливать винчестер на компьютере,
имеющим один дисковод, знает, что большая половина усилий уходит
не на восстановление, а на преодаление неудобств, связанных с ограниченностью
конфигурации. Первое, что стоит сделать в таких условиях,
это предусмотреть перенесение командного процессора и нек
...Закладка в соц.сетях
