ОСОБЕННОСТИ РАБОТЫ AVP Inspector в MS Windows NT
В связи с архитектурными особенностями Microsort Windows NT®, AVP Inspector™ не производит следующие проверки:
· Отладочных регистров
· Проверка размера доступной DOS памяти
AntiViral Toolkit Pro для Windows 95/98/NT
AntiViral Toolkit Pro для Windows 95/98/NT представляет собой мощную интегрированную антивирусную систему, которая включает в себя два программных модуля:
· антивирусный сканер AVP,
· антивирусный резидентный монитор AVP Monitor.
AVP для Windows 95/98/NT является полностью 32-х разрядным приложением, оптимизированным для работы в операционных системах Microsoft Windows 95/98/NT и использующим все возможности, которые эти системы предоставляют.
Резидентный монитор AVP Monitor, постоянно находясь в оперативной памяти, в фоновом режиме осуществляет контроль над операциями обращения к файлам и секторам. Прежде чем разрешить доступ к объекту, AVP Monitor проверяет его на наличие вируса. Таким образом, AVP Monitor позволяет обнаружить и удалить вирус до момента реального заражения системы.
Программы имеют удобный пользовательский интерфейс, характерный для среды Windows 95/98/NT, большое количество настроек, выбираемых пользователем, а также самую большую антивирусную базу данных, количество данных о вирусах в которой постоянно растет.
Встроенная в AVP для Windows 95/98/NT функция "живые апдейты" позволяет автоматически обновлять антивирусные базы. В зависимости от выбранных пользователем опций, обновление может быть произведено либо через Интернет (непосредственно с того http- либо ftp-сервера, на котором всегда находятся самые последние базы), либо из каталога на Вашем компьютере.
Словарь терминов
Атрибуты файла
Содержит характеристики файла: системный файл, скрытый файл, файл только для чтения (read-only) и т.д.
Заголовок EXE-файла
Часть EXE-файла, содержащая управляющую информацию. Располагается в начале EXE-файла и содержит информацию для системного загрузчика: длину загружаемого модуля, значения регистров, таблицу настройки адресов и др.
Кластер
Единица разбиения логического диска. Состоит из одного или нескольких подряд расположенных логических секторов диска. Длина кластера на флоппи-дисках обычно равна 1 или 2 секторам, на винчестере – до 64 секторов.
Логический диск
Единица разбиения диска. Состоит из подряд расположенных физических секторов. Логический диск делится на Boot-сектор, секторы FAT, корневого каталога и области данных. Секторы, входящие в область данных, группируются в кластеры. Логическим дискам ставятся в соответствие заглавные символы (A:, B:, D: и т.д.). В пределах логического диска возможна логическая адресация к секторам.
Монитор (программа-монитор, блокировщик)
Резидентно находящаяся в оперативной памяти утилита, которая позволяет выявлять "подозрительные" действия пользовательских программ: изменение и переименование выполняемых программ (COM- и EXE-файлов), запись на диск по абсолютному адресу, форматирование диска и т.д. При обнаружении "подозрительной" функции программа-монитор либо выдает на экран сообщение, либо блокирует выполнение перехваченной функции, либо совершает другие специальные действия.
Прерывание
Сигнал, по которому процессор прерывает выполнение текущей последовательности команд и передает управление на программу – обработчик прерывания. Адрес программы-обработчика вычисляется по таблице векторов прерываний. Прерывание может быть инициировано либо программами пользователя при работе с дисками, экраном, принтером и т.д. (программные прерывания) либо внешними устройствами: клавиатурой, таймером (аппаратные прерывания).
Призрак (вирусы-"призраки")
Вирусы, предпринимающие специальные меры для затруднения их поиска и анализа. Не имеют сигнатур, т.е. не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса-"призрака" не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Псевдосбойный кластер
Каждый кластер логического диска помечается в FAT как свободный, занятый или сбойный. Сбойным (плохим) считается кластер, который содержит один или несколько дефектных секторов. Такой кластер не используется DOS и невидим для нее. Псевдосбойным называется нормальный кластер (т.е. не имеющий дефектных секторов), но помеченный в FAT как сбойный. Выделить псевдосбойный кластер из, на самом деле, сбойных секторов можно несколько раз прочитав содержимое секторов кластера. Если при этом не произошло ошибки, то кластер псевдосбойный. Нормальные кластеры (т.е. не имеющие дефектных секторов) помечаются как сбойные некоторыми вирусами, которые могут затем использовать пространство таких кластеров в своих целях.
Резидентный (TSR – Terminate and Stay Resident)
Запускаемые на выполнение программы делятся на резидентные и нерезидентные. Резидентная программа по окончании оставляет свой код или часть кода в оперативной памяти, при этом DOS резервирует необходимый для ее работы участок памяти. Затем резидентная программа работает параллельно другим программам, некоторые из резидентных программ могут быть выгружены из памяти. Нерезидентная программа при завершении не оставляет в памяти своего кода, а занимаемая ею память освобождается.
Сектор
Минимальная единица разбиения диска (т.е. минимальная адресуемая часть диска). Разбиение диска на секторы происходит при его форматировании. Различают физические (абсолютные) и логические секторы диска. Один и тот же сектор может рассматриваться как физический при обращении к нему функциями BIOS и как логический при обращении к нему при помощи прерываний DOS. Длина сектора обычно равна 512 байтам.
Стелс (Stealth)
"Стелс"-вирусы (вирусы-невидимки) представляют собой программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и "подставляют" вместо себя незараженные участки информации. Кроме этого такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие "обманывать" резидентные антивирусные мониторы. К "стелс"-вирусам относятся вирусы "V-4096", "Fish#6", "Brain" и некоторые другие.
Файл
Единица организации логического диска. Файлы содержат информацию, содержащую какой-либо конкретный объект: программу, часть базы данных, тексты, прочие данные. К характеристикам файла относятся его длина (объем содержащейся в файле информации), атрибуты, время и дата последней модификации.
Backup
Резервные копии программного обеспечения, баз данных, рабочих файлов и т.д. Создаются для восстановления информации в случае ее потери, например при сбое компьютера или при заражении вирусом.
BIOS (Basic Input-Output System)
Базовая система ввода-вывода. Часть программного обеспечения, входящего в состав компьютера. Отвечает за тестирование и начальную загрузку системы. Также поддерживает стандартный интерфейс с внешними устройствами (экраном, дисками, принтером и т.д.). Хранится в ПЗУ.
Boot-сектор (загрузочный сектор)
Первый сектор логического диска (на флоппи-дисках совпадает с первым физическим сектором). Содержит программу-загрузчик, отвечающую за запуск операционной системы.
DOS (Disk Operating System)
Операционная система. Загружается с диска и отвечает за интерфейс пользователя и программного обеспечения с логическими элементами дисков, оборудованием и т.д.
FAT (File Allocation Table)
Таблица распределения файлов. Состоит из последовательных секторов логического диска и содержит таблицу расположения файлов на этом диске. Размещается в секторах, следующих за Boot-сектором. Дополнительно информирует о свободных и сбойных секторах логического диска.
MBR (Master Boot Record)
Первый физический сектор диска. Обычно содержит небольшую программу-загрузчик и таблицу разбиения диска (Disk Partition Table). Программа-загрузчик анализирует Disk Partition Table, выделяет в ней активный логический диск, загружает в память Boot-сектор этого диска и передает на него управление.
MCB (Memory Control Block)
Единица (блок) системной памяти. Выделяется, изменяется и освобождается DOS при запуске программ или при соответствующих запросах. В памяти блоки памяти организованы в виде списка, состоящего из M-блоков и заканчивающегося Z-блоком.
PSP (Program Segment Prefix)
Префикс программного сегмента. Расположен в начале участка памяти, выделяемого DOS под запускаемую программу. Создается операционной системой и содержит информацию о некоторых векторах прерываний, адресах системных полей и т.д.
TSR
см. Резидентный
COM-файл
Двоичный выполняемый файл, располагаемый при старте в одном сегменте и работающий в пределах этого сегмента. Программы, содержащиеся в COM-файлах (COM-программы) могут использовать и другие сегменты, но эти действия требуют специальных вычислений внутри самих программ. Поэтому все ссылки в COM-программах внутрисегментные и не требуют привязки к сегментному адресу.