Компьютерные вирусы

Программа ADinf получила первый приз на Втором Всесоюзном конкурсе  антивирусных  программ в 1990  году,  а  также  второй  приз  на  конкурсе  Borland Contest'93. ADinf был  единственным антивирусом, который летом 1991  года  обнаружил  вирус  DIR, построенный на принципиально новом способе заражения и маскировки.

Для лечения заражённых файлов применяется  модуль  ADinf  Cure Module, не входящий в  пакет  ADinf  и  поставляющийся  отдельно. Принцип  работы модуля - сохранение небольшой  базы данных,  описывающей контролируемые файлы.  Работая  совместно,  эти  программы позволяют обнаружить и удалить около 97% файловых вирусов и  100% вирусов  в  загрузочном  секторе.  К  примеру,  нашумевший  вирус SatanBug был легко обнаружен, и заражённые им файлы  автоматически восстановлены. Причем, даже те пользователи, которые приобрели ADinf и ADinf Cure Module за несколько месяцев до  появления этого вируса, смогли без труда от него  избавиться.

В отличие от других антивирусов Advansed Diskinfoscope не требует загрузки с  эталонной, защищённой от записи дискеты. При загрузке с винчестера надежность защиты не уменьшается.

ADinf имеет хорошо выполненный  дружественный интерфейс,  который  реализован в  графическом  режиме. Программа работает непосредственно  с  видеопамятью,  минуя BIOS, при этом поддерживаются все  графические адаптеры. Наличие большого количества ключей  позволяет  пользователю  создать максимально удобную для него конфигурацию системы. Можно  установить, что именно нужно контролировать: файлы с заданными расширениями, загрузочные сектора, наличие сбойных кластеров, новые файлы на наличие Stealth-вирусов,  Препады-Пидары - файлы из списка неизменяемых и т.д. По своему желанию пользователь может запретить проверять некоторые каталоги (это нужно, если каталоги являются рабочими и в них всё время происходят изменения).  Имеется возможность изменять способ доступа к диску (BIOS, Int13h или Int25h/26h), редактировать список расширений проверяемых файлов, а также назначить каждому расширению собственный вьюер, с помощью которого  будут просматриваться файлы с этим расширением. В  традициях современного программного обеспечения реализована  работа  с мышью. Как и вся продукция фирмы "ДиалогНаука",  ADinf  поддерживает программно-аппаратный комплекс Sheriff.

При инсталляции ADinf в  систему  имеется  возможность  изменить имя основного файла ADINF.EXE и имя таблиц,  при  этом  пользователь может задать любое имя. Это очень полезная функция, так  как в последнее время появилось множество  вирусов,  "охотящихся"  за антивирусами (например, есть вирус, который изменяет программу Aidstest так, что она вместо заставки фирмы "ДиалогНаука" пишет: "Лозинский - пень"), в том числе и за ADinf.

Полезной функцией является возможность работы с DOS, не выходя из программы. Это бывает полезно, когда  нужно  запустить  внешний антивирус  для лечения файла, если  у  пользователя  нет  лечащего блока ADinf Cure Module.

Ещё одна интересная функция - запрещение работы с системой при  обнаружении изменений на диске. Эта  функция  полезна,  когда  за терминалами работают пользователи, не имеющие ещё большого  опыта в общении с компьютером. Такие пользователи, по незнанию или по халатности, могут проигнорировать сообщение ADinf и продолжить работу как ни в чём не бывало, что может привести к  тяжёлым  последствиям.

Если же установлен  ключ  -Stop  в  строке  вызова  Adinf AUTOEXEC.BAT, то при обнаружении  изменений  на  диске  программа потребует позвать системного программиста, обслуживающего данный терминал, а если пользователь нажмет ESC или  ENTER,  то  система перезагрузится и все повторится снова.

Принцип работы ADinf основан  на  сохранении  в  таблице  копии MASTER-BOOT и BOOT секторов, список  номеров  сбойных  кластеров, схему  дерева каталогов и информацию обо  всех контролируемых файлах. Кроме  того, программа запоминает и при  каждом запуске  проверяет, не изменился ли доступный DOS объем оперативной памяти  (что бывает при заражении большинством загрузочных вирусов), количество установленных винчестеров, таблицы параметров винчестера в области переменных BIOS.

При первом запуске программа  запоминает объем оперативной памяти, находит и запоминает адрес обработчика прерывания Int 13h в BIOS, который будет использоваться при всех  последующих  проверках, и строит таблицы для проверяемых дисков. При этом проверяется, показывал ли вектор прерывания 13h в BIOS перед загрузкой DOS.

При последующих запусках ADinf проверяет объем оперативной  памяти, доступной DOS, переменные BIOS, загрузочные  сектора,  список номеров сбойных  кластеров (так как некоторые  вирусы,  записавшись в кластер, помечают его, как сбойный, чтобы  их  не  затёрли другие данные, а также не обнаружили примитивные  антивирусы).  К тому же антивирус ищет вновь созданные и уничтоженные  подкаталоги, новые, удаленные, переименованные, перемещённые и  изменившиеся файлы (проверяется изменение длины и контрольной суммы).  Если ADinf обнаружит, что, изменился файл из списка неизменяемых,  либо в файле произошли изменения без изменения даты и времени, а также наличие у файла  странной  даты  (число  больше  31,  месяц больше 12 или год больше текущего) или времени (минут больше  59, часов больше 23 или секунд больше 59), то он выдаст  предупреждение о том, что возможно заражение вирусом.

Если обнаружены изменения BOOT-секторов,  то  можно  в  режиме диалога сравнить системные таблицы, которые были до и после изменения, и по желанию восстановить прежний сектор. После восстановления измененный сектор сохраняется в файле на диске для последующего анализа. Новые сбойные кластеры (вернее информация о них в FAT) могут появиться после запуска какой-либо утилиты,  лечащей диск (например NDD) или благодаря действиям  вируса.  Если  Adinf выдал сообщение, а пользователь не запускал никаких подобных утилит, то, скорее всего в компьютер забрался  вирус.  При  получении такого сообщения следует продолжить проверку,  внимательно  следя за всеми сообщениями об изменениях файлов и загрузочных секторов. Если в системе действительно вирус, то такие сообщения не  заставят себя долго ждать (ведь если все тело вируса будет находиться в "сбойном" кластере, ему никогда не передастся управление).

После проверки ADinf выдаёт сводную  таблицу,  сообщающую  об изменениях на диске. По таблице  можно  перемещаться стрелками и  просматривать подробную информацию, нажав ENTER  на  интересующем пункте. Существует возможность перехода к  любому  пункту  с  помощью "быстрых" клавиш. Изменившиеся файлы  можно  просмотреть  в классическом режиме (шестнадцатеричный дамп / ASCII-коды)  с  помощью встроенного вьюера, который читает диск через  BIOS.  Можно также воспользоваться внешним вьюером, предварительно указав к нему путь. Подключив внешний редактор, можно отредактировать  изменившийся файл.

Не совсем привычно выглядит форма, в которой  ADinf  сообщает об обнаруженных подозрительных изменениях: вместо выдачи  сообщения о конкретных изменениях он выводит красное  окно  со  списком всех возможных и помечает галочкой пункты, соответствующие  изменениям, произошедшим в настоящий момент. Если после получения такого сообщения нажать ESC, то  программа  запросит  о  дальнейших действиях: обновить информацию о диске, не обновлять её,  лечить (при наличии лечащего модуля ADinf Cure Module) или записать протокол. Для лечения можно воспользоваться внешним антивирусом, загрузив его из окна работы с DOS,  которое вызывается  комбинацией клавиш ALT+V.

Если изменения не относятся к разряду подозрительных, то после выдачи таблицы изменений  можно нажать ESC. При этом  программа  спросит, нужно ли обновлять данные о диске в таблицах или не нужно, а также нужно ли создавать  файл в отчетом о проделанной работе. После выбора одного из пунктов программа  выполняет  затребованное действие и завершает свою работу.