Mybrary.info
mybrary.info » Книги » Справочная литература » Справочники » »Шпионские штучки» и устройства для защиты объектов и информации - Коллектив авторов (бесплатные онлайн книги читаем полные версии txt) 📗

»Шпионские штучки» и устройства для защиты объектов и информации - Коллектив авторов (бесплатные онлайн книги читаем полные версии txt) 📗

Тут можно читать бесплатно »Шпионские штучки» и устройства для защиты объектов и информации - Коллектив авторов (бесплатные онлайн книги читаем полные версии txt) 📗. Жанр: Справочники. Так же Вы можете читать полную версию (весь текст) онлайн без регистрации и SMS на сайте mybrary.info (MYBRARY) или прочесть краткое содержание, предисловие (аннотацию), описание и ознакомиться с отзывами (комментариями) о произведении.
Перейти на страницу:

Очень редко неисполняемые модули (текстовые файлы или файлы данных) также могут детектироваться, как CRYPT.Virus. Т. к. если рассматривать эти файлы, как программы, содержащие ассемблерные инструкции, то иногда в потоке совершенно бестолковых и хаотичных команд вдруг может получиться логически работоспособный, с точки зрения процессора, "расшифровщик", который якобы что-то "расшифровывает", но, естественно, ничего работоспособного произвести не может. Но в данном случае режим "параноика" эвристического анализатора зафиксирует наличие логического декриптора в таком файле и выведет сообщение о подозрении на CRYPT.Virus (рис. П4 2).

"Шпионские штучки" и устройства для защиты объектов и информации - _184.jpg

Рис. П4.2. Сообщение о подозрении на CRYPT Virus

Также в режиме "параноика" Dr Web дополнительно проверяет файлы на подозрительное время их создания. Некоторые вирусы при заражении файлов устанавливают время их создания на несуществующие значения как признак или идентификатор зараженности данных файлов. Например, для зараженных файлов секунды устанавливаются в значение 62 или их год создания может увеличиться аж на 100! лет.

"Шпионские штучки" и устройства для защиты объектов и информации - _185.jpg

Рис. П4.3. Сообщение о странном времени создания файлов

В режиме эвристического анализа возможны ЛОЖНЫЕ СРАБАТЫВАНИЯ! Причем процент ложных срабатываний увеличивается в соответствии с повышением "чувствительности" анализатора. Особенно высок процент ложных срабатываний для "параноического" режима работы. В настоящее время, для данной версии, ложные срабатывания обнаружены на следующих файлах (для минимального уровня эвристического анализатора):

MIRROR.COM, Central Point Software,

RK.COM, А.Страхов Academy Soft,

RCVFAX.COM, ZyXEL Communications Corp.,

MVT.COM, Martin Kupchs,

BOOT_B.EXE, Scott A. Numbers,

SNIPPER.COM, Ziff Communications Co.,

KILESAVE.EXE, Symantec…

Примечание: Данный режим эффективен при тестировании программного обеспечения, появившегося у вас впервые. Необходимо отнестись с осторожностью к программам, которые вы видите в первый раз и на которые эвристический анализатор программы Dr. Web среагировал, как возможно инфицированные.

Время тестирования объектов на указанных устройствах в данном режиме может быть больше в 3 раза, чем время тестирования без режима эвристического анализа. Не стоит впадать в панику, если при тестировании файлов с использованием эвристического анализатора, вы получите сообщение о возможном заражении 1–2 файлов. Как правило, ложные срабатывания эвристического анализатора возникают при сканировании программ, использующих в своей работе операции с файлами (открытие файлов, запись в них), особенно если данные программы являются резидентными.

Режим /U (Unpack)

Позволяет тестировать файлы, упакованные утилитами LZEXE, DLET, PKLITE, ЕХЕРАСК, СОМРАСК, CryptCOM, а также вакцинированные антивирусом CPAV. С помощью данного режима можно восстановить упакованные файлы, если задать режим / UW (Unpack and rcWrite). Необходимо отметить, что, как правило, режим / UW необходим только в экстренных случаях, например, при подозрении на нахождение неизвестного программе Dr. Web вируса "под упаковщиком" в определенном файле. В данном случае можно произвести восстановление данного файла в оригинальное состояние с помощью режима / UW с целью дальнейшего самостоятельного изучения этого объекта на предмет инфицированности. Если же вы не сильны в системном программировании, то вам необходимо забыть о существовании ключа "W", т. к. для обычного тестирования файлов достаточно указать режим /U.

В данном режиме /U Dr. Web производит восстановление, или распаковывание упакованного файла во временный файл, который после этого и подвергается тестированию. После тестирования, если был установлен режим /UW, этот временный файл будет переписан, замещая исходный, и таким образом исходный упакованный файл станет распакованным (или вакцинированный девакцинированным).

Аналогичная замена на распакованный (девакцинированный) файл происходит также при лечении упакованных (вакцинированных) файлов.

Временный файл, предназначенный для распакованного файла, создается на том устройстве, где находится программа Dr. Web, но можно задать для этих целей любое устройство или диск, например /UWC: или /UND:, где С: и D; — имена дисков, на которых будут создаваться временные файлы.

При задании ключа /UN (Unpack and don't print the Name of the compression program) на экран и в файл REPORT.WEB не выводится информация о названии программ, с помощью которых упакованы тестируемые файлы. В данном случае файлы распаковываются и проверяются на наличие вирусов так же, как и при задании ключа /U, но названия утилит-компрессоров игнорируются для лучшего восприятия и поиска необходимой информации на экране и в файле-отчете.

Примечание: диск, используемый для создания временных файлов, должен иметь необходимое свободное пространство. Рекомендуется в качестве устройства для распаковки использовать виртуальный RAM-диск, т. к. скорость работы Dr. Web в этом случае будет намного выше, чем при использовании в качестве устройства для распаковки логического диска "винчестера".

* * *

При использовании программы Dr. Web в пакетных (ВАТ) файлах для тестирования флоппи-дисков может быть необходим режим /N (check only oNe floppy and don't ask another diskette for checking) — тестирование одного флоппи-диска без вопроса о замене дискеты.

Режим /P

В режиме (Print) происходит запись протокола работы Dr. Web в файл, указанный сразу за ключом . Если же имя файла-отчета не указано, то протокол работы будет записываться в файл REPORT.WEB, который находится или будет создан в том же каталоге, где находится программа WEB.EXE. Если введенный за ключом файл (если он указан) пли файл REPORT.WEB уже существует, то вся дальнейшая информация будет дописываться в конец файла-отчета.

Режим /О

Режим (Ok) характерен тем. что для всех файлов, в которых во время тестирования не найден вирусный код, будет выведено сообщение "Ok". Например, "C: NCNC.EXE — Ok".

Режим /Z

Режим /Z предоставляет возможность взаимодействия программы Dr. Web и программно-аппаратного комплекса "Sheriff", если последний установлен на компьютере пользователя. В качестве параметра необходимо поставить пять первых цифр серийного номера платы "Sheriff".

Режим /В

В режиме (Black and white) все сообщения программы Dr.Web будут выведены и режиме монохромного (черно-белого) монитора. Dr. Web самостоятельно не определяет тип монитора при запуске, поэтому если тестирование дисков производится на компьютере, имеющем монохромный монитор, желательно включить данный режим. При включенном режиме все сообщения и на цветном мониторе будут представлены в черно-белом формате.

Режим /L

Режим /L (Language) позволяет выводить все сообщения Dr. Web на другом языке. Описываемая версия поддерживает английский язык.

Режим /Н

При включении режима (High memory) производится дополнительное тестирование верхних адресов памяти (640КЬ — 1088Kb) для выявления резидентных вирусов в данной области. Этот режим актуален, если на Вашем компьютере существует возможность загрузки программ в верхнюю память, выше 640Kb в область ПЗУ (Upper Memory Blocks — UMB и High Memory Area — НМА).

Перейти на страницу:

Коллектив авторов читать все книги автора по порядку

Коллектив авторов - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки mybrary.info.


»Шпионские штучки» и устройства для защиты объектов и информации отзывы

Отзывы читателей о книге »Шпионские штучки» и устройства для защиты объектов и информации, автор: Коллектив авторов. Читайте комментарии и мнения людей о произведении.


Уважаемые читатели и просто посетители нашей библиотеки! Просим Вас придерживаться определенных правил при комментировании литературных произведений.

  • 1. Просьба отказаться от дискриминационных высказываний. Мы защищаем право наших читателей свободно выражать свою точку зрения. Вместе с тем мы не терпим агрессии. На сайте запрещено оставлять комментарий, который содержит унизительные высказывания или призывы к насилию по отношению к отдельным лицам или группам людей на основании их расы, этнического происхождения, вероисповедания, недееспособности, пола, возраста, статуса ветерана, касты или сексуальной ориентации.
  • 2. Просьба отказаться от оскорблений, угроз и запугиваний.
  • 3. Просьба отказаться от нецензурной лексики.
  • 4. Просьба вести себя максимально корректно как по отношению к авторам, так и по отношению к другим читателям и их комментариям.

Надеемся на Ваше понимание и благоразумие. С уважением, администратор mybrary.info.


Прокомментировать
Подтвердите что вы не робот:*