Коллектив авторов - Шпионские штучки и устройства для защиты объектов и информации

Внимание системным программистам!

1. После добавления этого ключа в строку вызова ADinf в файле AUTOEXEC.BAT не забудьте обновить таблицы ревизора, иначе ADinf при следующей проверке диска зафиксирует изменение файла AUTOEXEC.BAT и не даст продолжить работу.

2. Когда ADinf останавливается, выдавая сообщение о необходимости вызвать системного программиста, нажатие на клавиши <Esc> или <Еnter> приводит к перезагрузке компьютера. Выйти из этого состояния можно только нажав клавишу <F10>. Однако не говорите об этом своим пользователям!

22) * Ключ — w включает режим построения новых таблиц для диска.

23) Ключ -13 отключает проверку, показывает ли вектор прерывания в область BIOS. Отключать эту проверку необходимо, если на компьютере используется Shadow Bios, допускающий запись в область адресов ПЗУ. В этом случае только при первом запуске ADinf на машине необходимо отключить использование Shadow Bios, чтобы ADinf смог найти и запомнить адрес обработчика Int 13h. Затем можно включить использование Shadow Bios и запускать ADinf с ключем -13.

24) Ключ -76 отменяет обработку прерывания 76h.

Если при запуске ADinf в командной строке не указано ни одно имя диска, то программа запускается в диалоговом режиме работы.

Например:

C: ADINF>ADinf

При запуске ADinf в диалоговом режиме верхняя строка содержит основное меню диалогового режима. Это меню содержит следующие альтернативы: ADinf, ДИСКИ, РАБОТА, ОПЦИИ, КОНЕЦ. При запуске ADinf автоматически входит в меню "РАБОТА", раздел "ПРОВЕРИТЬ ВСЕ". Для проверки всех дисков, на которых были созданы таблицы ADinf, достаточно просто нажать на <Enter>.

Вы можете перемещаться по альтернативам, используя клавиши перемещения курсора вправо и влево или манипулятор мышь. Для выбора альтернативы необходимо нажать на клавишу <Ввод>.

Мы не будем детально описывать работу Adinf в диалоговом режиме, поскольку общение с программой в этом режиме не вызывает сложностей благодаря "дружественному" интерфейсу на русском языке.

Кроме того, в стандартную поставку программного продукта входит текстовый файл с подробным описанием работы ревизора Adinf.

Работа с дискетами

Подавляющее большинство вирусов заносится на компьютер на дискетах. Причем вы можете заразить свою изначально чистую от вирусов дискету, просто установив ее в дисковод зараженного компьютера и, например, только просмотрев ее каталог. Заметим, что, наоборот, заразить компьютер с дискеты, просто воткнув ее в дисковод невозможно — надо запустить хотя бы одну зараженную программу, находящуюся на дискете, или загрузить компьютер с зараженной дискеты.

Чтобы быть спокойным за "здоровье" своих дискет и дискет, передаваемых кому-либо, ADinf позволяет снабдить дискету таблицей-сертификатом с полной информацией о содержимом. Перед передачей дискет создайте на них таблицы ADinf. Если у получателя дискет установлен Advanced Diskinfoscope, то он сможет проверить целостность находящейся на дискете информации. А вы, получив такую дискету, можете быстро проверить, не заражена ли она вирусом.

Таблица, создаваемая на дискете, содержит полную информацию о конфигурации ADinf. необходимую для проверки (список проверяемых файлов, типы контрольных сумм и даже имена индивидуальных Viewer-ов и редакторов, назначенных для файлов этой дискеты). Поэтому ваша конфигурация программы ADinf может не совпадать с конфигурацией программы, при помощи которой создавались таблицы на проверяемой дискете.

Полезные замечания

1. Перед тем, как первый раз создавать таблицы ADinf, проверьте свой диск на наличие известных вирусов с помощью какой-нибудь надежной антивирусной программы, например Aidstest или SCAN.

2. Проверяйте свой диск несколько раз в день, особенно если вы пользовались дискетами.

3. Программа ADinf BIOS читает диск, обращаясь непосредственно в BIOS.

Эти обращения не могут контролироваться не только вирусами, но и другими резидентными программами. Поэтому могут возникнуть проблемы при использовании ADinf (SmartDrv и др.), оптимизирующими не только чтение с диска, но и запись на диск. Если кэширование оптимизирует только чтение данных, то ADinf и программа кэширования пытаются одновременно обратиться в BIOS, что недопустимо. При использовании кэширования, оптимизирующего запись, можно рекомендовать следующее.

Во-первых, можно выключать кэширование записи на диск перед запуском ADinf, а после окончании работы ADinf включать опять.

Например, при использовании программы SmartDrv.exe для отключения кэширования записи на диски С: и D: необходимо выдать команду SmartDrv С D, а для включения кэширования SmartDrv С+ D+.

Второй способ заключается в том, что в ADinf можно назначить доступ ко всем дискам кроме диска С: через Int 13h. Для этого надо войти в меню ОПЦИИ->НАСТРОЙКИ->ОБРАЩЕНИЕ К ДИСКАМ. ADinf начнет работать через кэш и конфликты прекратятся, однако надо помнить, что надежность обнаружения вирусов при этом снижается.

ПРИМЕЧАНИЕ. Начиная с версии 9.00 ADinf полностью поддерживает совместимость с программой кэширования HypcrDisk версий выше 4.50. При использовании этой программы перечисленные выше проблемы не возникают.

3. Антивирусная программа AIDSTEST

Назначение программы

Программа Aidstest (автор Лозинский В.И.) предназначена для обнаружения и исправления программ, зараженных определенными типами вирусов. Набор вирусов постоянно пополняется, что влечет появление новых версии этой программы.

В процессе исправления программные файлы, которые исправить невозможно, стираются.

Aidstest работает на компьютерах IBM PC/XT/AT/PS-2 и совместимых с ними под управлением DOS версии 2.0 или выше.

В момент запуска Aidstest в памяти не должно быть резидентных антивирусных программ, которые блокируют запись в программные файлы.

Поскольку Aidstest обнаруживает только уже известные вирусы, полезно иметь и программу, обнаруживающую появление на диске новых вирусов. Из известных в настоящее время дисковых ревизоров наиболее эффективным и надежным является, пожалуй, ADinf Д.Мостового, который за несколько секунд просматривает весь диск и сообщает обо всех подозрительных происшествиях. Дополнительно с ADinf может работать специальный лечащий модуль — ADinf Cure Module, который позволит в 97 % случаев заражения новыми вирусами, неизвестными для Aidstest, успешно восстанавливать файлы, приводя их в то же состояние, что и до заражения. Это позволит вам вылечить компьютер, не дожидаясь появления свежей версии Aidstest. Хотя, конечно, в наиболее сложных случаях (около 3 % вирусов) использование программы типа Aidstest необходимо.

Параметры

Программа Aidstest вызывается следующей командной строкой:

Aidstestpath[/f]|/gj[/s][/p]f/x][/q][/b][/e][/m][/l][/z)[/d][/a]

Ключи команды имеют следующие значения:

path — задает подмножество файлов, которые следует проверить на зараженность. Кодируется практически по тем же правилам, что и в команде DIR. Вместо этого параметра можно поставить символ "*", который означает задание на работу со всеми дисками, начиная с "С". Для проверки текущего каталога следует задавать просто символ".". ПРИ ИСПОЛЬЗОВАНИИ В СЕТИ параметр path рекомендуется задавать в виде d:*.*" или "d:.";

/f — переключатель, означающий задание на исправление зараженных программ и стирание испорченных безнадежно;

/g — глобальная проверка всех файлов на диске (не только СОМ, ЕХЕ и SYS). Необходимость такого режима вызвана тем, что некоторые вспомогательные подпрограммы имеют расширение имени, отличное от EXE, СОМ и SYS, однако в момент загрузки некоторые вирусы успевают их заразить. С этим параметром программу рекомендуется запускать только для чистки, когда известно о наличии в машине вируса;

/s — этот переключатель можно попробовать использовать в случае, когда вирус, объявленный удаленным, продолжает упорно появляться вновь. Дело в том, что иногда, например, при лечении некачественными антивирусными средствами, болезнь загоняется вглубь, и диагностика требует замедленного просмотра программных файлов. Кроме того, этот переключатель необходим для обнаружения заражения и лечения дисков, испорченных вирусами семейства DIR, в тех случаях, когда тело вируса отсутствует на диске, что бывает довольно часто;

/p[NF| — задается при желании сохранить протокол. [NF] — имя файла. Если имя файла не задано, выдача происходит на первое печатающее устройство. В последнем случае необходимо не забыть заранее его включить, поскольку напоминания не будет;

/х — переключатель, означающий разрешение стирать файлы, в которых обнаружен вирус, а дополнительный контроль показывает, что успешное лечение невозможно. Такая ситуация может возникнуть при заражении недостаточно грамотно написанными вирусами;