Пока гром не грянет, мужик не перекрестится.

(начинающему пользователю посвящается)
Уж сколько раз твердили пользователям во всём мире, что следует пользоваться антивирусными программами. Но многие так никогда и не делают этого. А зря. Ведь никто не застрахован от попадания в компьютер разнообразных вредоносных программ. Из своего опыта добавлю, что самая уязвимая прослойка пользователей это секретари и бухгалтеры, которые по простоте душевной или по незнанию не обновляют свои антивирусы. А бывает, так что даже и не пользуются ими. На написание этой статьи меня подбил целый ряд жизненных ситуаций. Когда у многих пропадала важная информация с компьютеров и огромные базы данных. И всего лишь потому, что захотелось не весть откуда принести дискету с заражённой WINCIH Масяней. А ведь подобные случаи не единичны! И поэтому заражение древним вирусом “Чернобыль” продолжается повсеместно, хотя его обнаружит любой современный антивирусный пакет.
Вирусы как вид программ.
У каждого человека, который пользуется компьютером, наверняка, есть свой первый вирус. Для меня это была незабвенная вещица под названием ”Миссис Пакман”. А для вас? Напрягите память! Проблем, к слову сказать, она принесла много. Но за то в те далёкие 90-е многие поняли, что с вирусами шутки плохи. Само же понятие «компьютерный вирус» впервые употребил сотрудник Лехайского университета (США)
Ф. Коэн на конференции по безопасности информации в 1984 году. Однако, еще в работах Винера и фон Неймана исследовались различные виды конечных автоматов, в том числе и самовоспроизводящихся. Что же такое в научном ведении компьютерный вирус?
Вирус — это фрагмент программы, разработанный и написанный с целью неблагоприятного воздействия на Ваш компьютер посредством изменения способа его работы без Вашего ведома или разрешения. Выражаясь техническим языком, вирус — это сегмент программного кода, имплантирующий себя в один из Ваших исполняемых файлов и систематически распространяемый из одного файла в другой. Компьютерные вирусы не образуются сами. Они должны быть написаны и имеют определенную цель. Обычно вирус выполняет две разные функции:
— Распространяет себя из одного файла в другой без Вашего подтверждения или ведома. На техническом языке это называется саморепликацией или размножением.
— Внедряет симптом или нарушение, запланированное злоумышленником. Он может портить диск, искажать программы или просто навести беспорядок в компьютере. На техническом языке это называется полезной нагрузкой вируса, которая может быть доброкачественной или злокачественной по прихоти создателя вируса. Доброкачественный вирус — тот, который не нацелен на причинение компьютеру реального ущерба. Например, вирус, скрывающийся до определенной даты или времени, а затем только выводит некоторое сообщение, считается доброкачественным.
Злокачественный вирус пытается причинить вред компьютеру, в том числе и непреднамеренный. Существует большое число вирусов, причиняющих
ущерб из-за некачественного программирования и явных ошибок в коде самого вируса. Злокачественный вирус — способен изменить одну или более программ, так что они перестают работать надлежащим образом. Зараженная программа может внезапно прекращать работу, записывать неверную информацию в документы. Или вирус может менять информацию о каталогах в системной области диска. Это мешает монтированию
разделов или запуску одной или более программ; а бывает, что программы не могут найти нужные документы. Хотя некоторые вирусы считаются доброкачественными; большая их
часть — это злокачественные вирусы. Некоторые самые опасные из них портят весь жесткий диск или удаляют файлы.
Немного истории.
Мнений по поводу даты рождения первого компьютерного вируса очень много. Мне доподлинно известно только одно: на машине Чарльза Бэббиджа его не было, а на Univac 1108 и IBM-360/370 они уже были (Pervading Animal и Christmas Tree). Таким образом, первый вирус появился где-то в самом начале 70-х или даже в конце 60-х годов, хотя так его никто еще не называл. На этом разговор о вымерших ископаемых предлагаю
считать завершенным. Поговорим о новейшей истории: Brain, Vienna, Cascade и далее. Те, кто начал работать на IBM PC в середине 80-х, еще не забыли повальную эпидемию
этих вирусных заболеваний в 1987—1989 гг. Буквы сыпались на экранах, а толпы пользователей неслись к специалистам по ремонту дисплеев (сейчас все наоборот: винчестер скончался от старости, а валят на неизвестный передовой науке вирус). Затем компьютер заиграл чужеземный гимн «Yankee Doodle», но чинить динамики уже никто не бросился, очень быстро разобрались, что это — вирус, да не один, а целый десяток.
Так вирусы начали заражать файлы. Вирус Brain и скачущий по экрану шарик вируса Ping-pong ознаменовали победу вируса и над Boot-сектором. Все это очень не нравилось пользователям IBM PC, и появились противоядия. Следует обратить внимание на то, что истории завоевания вирусами СНГ и Запада различаются между собой. Первым вирусом, стремительно распространившимся на Западе, был загрузочный вирус Brain, и только потом появились файловые вирусы Vienna и Cascade. В СНГ же, наоборот, сначала появились файловые вирусы, а годом позже — загрузочные. Время шло, вирусы плодились. Все они были чем-то похожи друг на друга, лезли в память, цеплялись к файлам и секторам, периодически убивали файлы, дискеты и винчестеры. Одним из «откровений» стал вирус Frodo.4096 — первый из известных файловых вирусов-невидимок. Этот вирус перехватывал INT 21h и при обращении через DOS к зараженным файлам изменял информацию таким образом, что файл появлялся перед пользователем в незараженном виде. Но это была только надстройка вируса над MS-DOS. Прошло некоторое время, вирусы как электронные тараканы полезли внутрь ядра ДОС (Beast.512). Идея невидимости продолжала приносить свои плоды. Летом 1991 года кося компьютеры, как бубонная чума, вирус Dir_II завоевал мир. Но бороться с невидимками довольно просто. Следует лишь очистить RAM и будь спокоен. Больше хлопот доставляли само шифрующиеся вирусы, которые иногда встречались в очередных поступлениях в коллекции. Ведь для их идентификации и удаления приходилось писать специальные подпрограммы, отлаживать их. Но на это никто не обращал внимания. Пока не появились вирусы нового поколения, которые носят название полиморфик вирусов. Эти вирусы используют другой подход к невидимости: они шифруются (в большинстве случаев), а в расшифровщике используют команды, которые могут не повторяться при заражении различных файлов. Первый полиморфик вирус появился в начале 90-х годов. Это был Chameleon. Но по-настоящему серьезной проблема стала лишь год спустя — в апреле 1991 года, когда практически весь мир был охвачен эпидемией компьютерного вируса Tequila. Эта эпидемия практически не затронула Россию, а первая российская эпидемия, вызванная полиморфик вирусом, нагрянула три года спустя – 1994 год (Phantom 1). Популярность идеи самошифрующихся вирусов вылилась в появление генераторов полиморфик кода. В начале 1992 года появляется знаменитый вирус Dedicated, базирующийся на первом известном генераторе MtE и открывший серию MtE-вирусов. Представляет он из себя объектный модуль (OBJ-файл), и теперь для того,
чтобы из самого обычного нешифрованного вируса получить полиморфик мутанта, достаточно лишь скомпоновать их объектные модули в OBJ-файл. Автору вируса, если он пожелает создать настоящий вирус, уже не надо корпеть над кодами собственного шифровщика — расшифровщика. При желании он может подключить к своему вирусу
генератор и вызывать его из кодов вируса. К счастью, первый MtE-вирус не попал в
«живую природу» и не вызвал эпидемии, а разработчики антивирусных программ соответственно имели некоторый запас времени для подготовки к отражению новой напасти. Всего год спустя изготовление таких вирусов становится уже ремеслом. В
1993 году произошел их «обвал». Создается впечатление, что одним из основных направлений в трудном деле создания вирусов становится разработка и отладка полиморфик механизма. Конкуренция среди авторов вирусов сводится не к тому, кто из них напишет самый крутой вирус, а чей механизм окажется круче всех. Вот далеко не полный список тех из них, которые можно назвать стопроцентно полиморфными:
(на конец 1993 г.): Bootache, CivilWar (четыре версии), Crusher, Dudley, Fly, Freddy, Ginger, Grog, Haifa, Moctezuma (две версии), MVF, Necros, Nukehard, PcFly (три версии), Predator, Satanbug, Sandra, Shoker, Todor, Tremor, Trigger, Uruguay (восемь версий).
Для обнаружения этих вирусов приходится использовать специальные методы, к
которым можно отнести эмуляцию выполнения кода вируса, математические алгоритмы восстановления участков кода и данных в вирусе. К нестопроцентным полиморфикам (т. е. вирусам, которые шифруют себя, но в дешифраторе вируса всегда существуют постоянные байты) можно отнести еще десяток вирусов: Basilisk, Daemaen,
Invisible (две версии), Mirea (несколько версий), Rasek (три версии), Sarov, Scoundrel, Seat, Silly, Simulation. Однако и они требуют расшифровки кода для их обнаружения и восстановления пораженных объектов, поскольку длина постоянного кода в дешифраторе этих вирусов слишком мала. Распространялись генераторы вирусов по станциям BBS в виде архивов, содержащих объектные модули, документацию и примеры использования. В конце 1993 г. было известно уже семь генераторов полиморфик кода.
Это были: МТЕ 0.90 (Mutation Engine), четыре различные версии ТРЕ (Trident Polymorphic Engine), NED (Nuke Encryption Device), DAME (Dark Angel’s Multiple Encryptor).
С тех пор новые полиморфные генераторы появлялись по нескольку штук в год, и приводить их полный список вряд ли имеет смысл.
Что же сейчас могут вирусы?
Как вы ещё не перепугались? И не побежали галопом проверять свой компьютер на наличие вирусов? Похвально! У Вас железные нервы. Ну, коли так, перейдём к самой напряжённой части этой публикации. А именно описанию возможностей современных вирусов.
Вирусы, заражающие файлы:
Это вирусы, присоединяющиеся к файлам .COM и .EXE (или подменяющие их), хотя в отдельных случаях они могут заражать и файлы с расширениями .SYS, .DRV, .BIN, .OVL и .OVY. Вирусы этого типа обычно делают неинфицированные программы инфицированными, когда они исполняются в памяти. В других случаях программы заражаются, когда они открыты (например, с применением команды DOS DIR), или вирус просто заражает все файлы в каталоге, из которого он запущен (прямая инфекция).
Вирусы загрузочного сектора:
Каждый логический диск, жесткий или гибкий, содержит загрузочный сектор. Это относится даже к несистемным дискам. В загрузочном секторе находится специфическая информация о формате диска, хранящихся на нем данных, а также небольшая программа,
называемая программой загрузки (она загружает системные файлы DOS). Программа загрузки отображает знакомое сообщение «Non-system Disk or Disk Error», если системные файлы DOS отсутствуют. Эту программу и заражают вирусы. Вирус загрузочного сектора можно получить, оставив в дисководе зараженную дискету и загрузив машину. При считывании и выполнении программы загрузочного сектора вирус попадает в память и заражает жесткий диск. Помните, что так как загрузочный сектор есть у каждого диска, машину можно заразить и от диска данных (обычно так и происходит).
ПРИМЕЧАНИЕ: Загрузочный сектор есть как на дискетах, так и на жестком диске.
Вирусы главной загрузочной записи:
Первый физический сектор каждого жесткого диска (сторона Ш, дорожка Ш, сектор 1) содержит главную загрузочную запись (Master Boot Record, MBR) и таблицу разделов. В главной загрузочной записи находится маленькая программа, называемая главной загрузочной программой, которая определяет положение загрузочного раздела по таблице разделов и командует системе идти туда и выполнять любой содержащийся там код. Предположим, что диск отформатирован правильно, и загрузочный сектор находится в позиции (сторона Ш, дорожка Ш, сектор 1). На флоппи-дисках те же самые вирусы заражают загрузочный сектор. Вирус главной загрузочной записи распространяется точно так же, как и вирус загрузочного сектора — когда зараженная дискета оставлена в дисководе во время перезагрузки машины. При считывании и исполнении программы
загрузочного сектора вирус попадает в память и заражает MBR жесткого диска. Опять же, так как загрузочный сектор имеется на каждом диске, машину можно заразить и от диска данных.
Многораздельные вирусы:
Многораздельные вирусы представляют собой сочетание перечисленных выше вирусов. Они заражают как файлы, так и записи MBR или загрузочные секторы. Вирусы этого типа встречаются редко, но их число постоянно растет.
Чего вирусы не делают:
Компьютерные вирусы не заражают файлы на защищенных от записи дисках и не заражают документов, за исключением случая макровирусов Word, которые заражают только документы и шаблоны Word 6.0 или выше. Не заражаются и копрессированные файлы. Вирусы не действуют на аппаратуру компьютера — мониторы, микросхемы и
т.п.; они заражают только программы. Кроме того, вирусы Macintosh не заражают компьютерные программы для DOS и наоборот. Например, знаменитый вирус Michelangelo не заражает приложения для Macintosh. Опять же, исключение из этого
правила составляют макровирусы Word и Excel, которые поражают электронные таблицы, документы и шаблоны, которые могут открывать компьютеры Windows или Macintosh. Наконец, вирусы не обязательно как-то проявляют себя – даже после того как что-то испортилось.
Как распространяются вирусы:
Вирусы распространяются при запуске зараженного приложения или загрузке компьютера с диска, системные файлы которого заражены. Например, если программа текстового процессора заражена вирусом, он активизируется при работе этой программы.
Когда вирус находится в памяти, он обычно заражает любую программу, с которой Вы работаете, включая сетевые приложения (если у Вас есть право записи на сетевые диски или в папки). Вирусы ведут себя по-разному. Некоторые остаются активными в памяти до выключения компьютера. Другие — только до тех пор, пока работает зараженная программа. Выключение компьютера или выход из приложения удаляет вирус из памяти, но не из зараженного файла или с диска. Если вирус находится в системном файле, он активизируется при следующей загрузке системы с зараженного диска. Если вирус
находится в приложении, он снова активизируется при следующем запуске этого приложения.
Доктора вызывали?
Заканчивая тему нельзя не коснуться самого главного, а именно защиты от напасти под названием компьютерный вирус. Для этого существуют антивирусные пакеты. К сожалению, многие из них платные, а другие нет. В любом случае я приведу обзор этих программ, а Вам уже решать, что использовать у себя дома, а что в офисе с разветвлённой локальной сетью.
Платные антивирусы:
AVP www.avp.ru

«Лаборатория Касперского» предлагает широкий спектр антивирусного программного обеспечения, как для индивидуальных пользователей, так и для корпоративных сетей под
названием AntiViral Toolkit Pro.
«…Мы предлагаем все типы антивирусной защиты: антивирусные сканеры, мониторы и ревизоры контроля несанкционированного изменения на диске…». АВП поддерживает все наиболее популярные операционные системы, почтовые системы, межсетевые экраны (firewall). А так же обеспечивает полный контроль, за всеми возможными каналами проникновения компьютерных вирусов. Мощные локальные и сетевые средства автоматизации и централизованного контроля над антивирусной защитой «Лаборатории Касперского» обеспечивают пользователям максимальное удобство и скорость при построении собственной системы защиты против компьютерных вирусов.
Антивирусные продукты «Лаборатории Касперского» имеют сертификаты российских и международных государственных организаций и независимых тестовых лабораторий.
Продукты Symantec Corpotation:

http://www.symantec.com Symantec AntiVirus™ – полнофункциональное антивирусное решение, обеспечивающее многоуровневую защиту корпоративного класса для шлюзов Интернета и почтовых шлюзов, серверов и рабочих станций. Благодаря сочетанию получившей признание пользователей антивирусной технологии и глобальной инфраструктуры поддержки корпорации Symantec эти программы обеспечивают надежную защиту. Использованные в этих пакетах эффективные технологии и поддержка защиты сети на всех уровнях устраняют необходимость в создании системы обеспечения безопасности из разрозненных продуктов, выпущенных различными поставщиками.
Центральная консоль управления Symantec System Center™ позволяет системным администраторам развертывать антивирусные решения, а затем создавать, принудительно проводить и обновлять политики, обеспечивающие правильную постоянную настройку серверов и рабочих станций, в масштабе всего предприятия и на различных платформах.
Продукты пакета, предназначенные для работы в шлюзах, обеспечивают быстродействующую масштабируемую защиту, предотвращающую проникновение вирусов в защищаемую сеть. Развитые средства автоматизации уменьшают объем администрирования, обеспечивают организациям улучшенную защиту и сокращают время
отклика. Технология Digital Immune System™, примененная в пакетах Symantec AntiVirus,
позволяет автоматически выполнять поиск, обнаружение и изоляцию новых вирусов, обеспечивая быстродействующую, надежную и не требующую вмешательства оператора защиту. Кроме того, уникальная многоуровневая технология NAVEX™, разработанная корпорацией Symantec, обеспечивает обновление описаний вирусов и модулей расширения без повторного развертывания программ и перезагрузки системы, благодаря чему увеличивается время бесперебойной работы системы и сокращается совокупная стоимость владения. Для повышения быстродействия и улучшения безопасности в новой
версии уменьшен объем файлов описаний вирусов, а также включена возможность многопоточного серверного развертывания. Пакеты Symantec AntiVirus™, как и
другие продукты корпорации Symantec, предназначенные для обеспечения безопасности,
поддерживается службой Symantec™ Security Response, ведущей организацией, занимающейся исследованиями и предоставлением технической помощи в области обеспечения безопасности при работе с Интернетом.
Семейство McAfee Security:

http://www.mccafee.com Семейство McAfee Security — предназначено для комплексной антивирусной защиты любого уровня: от карманного и персонального компьютера до распределенной корпоративной сети. Пользователи антивирусных продуктов McAfee – более 70 миллионов человек по всему миру. Кроме того, антивирусная защита McAfee является корпоративным стандартом для 80% компаний, входящих в «Fortune 100» (100 ведущих мировых компаний). Продукты McAfee Security обеспечивают полную защиту для всех распространенных операционных систем и приложений, обнаруживая и корректно удаляя более 60 тысяч вирусов и враждебных программ. Помимо традиционной антивирусной защиты McAfee Security предлагает первое на рынке средство превентивной
защиты от вирусов — ThreatScan, а также брандмауэр и систему обнаружения вторжений
на уровне рабочих станций – McAfee Desktop Firewall. Полная защита от вирусов
Антивирусы McAfee обеспечивают высочайший уровень защиты, неоднократно подтвержденный сертификатами ICSA, Checkmark Level 2, VirusBulletin 100%
Detection и многочисленными независимыми тестами. Обнаруживаются и удаляются все типы вирусов и троянских программ, враждебные объекты Java/ActiveX, блокируется доступ к опасным WEB-ресурсам. Обнаружение более 60000 вирусов Антивирусный механизм Olympus, разработанный на базе передовых технологий McAfee и Dr. Solomon обнаруживает более 60 000 вирусов и враждебных программ, обеспечивая самый высокий на рынке показатель восстановления поврежденных файлов. Полномасштабная защита всех ОС McAfee Security охватывает все операционные системы и групповые приложения, используемые в современных корпоративных сетях: клиентские ОС Windows 95 / 98 / ME / NT Workstation / 2000 Professional / XP Home & Professional, DOS, Macintosh.
Cерверные ОС Windows NT Server, Windows 2000 Server / Advanced Server / Datacenter, Novell Netware 4.11 / 4.2 / 5.0 / 5.1 / 6.0, FreeBSD, Linux, HP-UX, AIX, SCO, Solaris. Групповые приложения MS Exchange 5.5/2000 и Lotus Notes/Domino. Интернет — шлюзы Windows NT/2000 и Sun Solaris; сетевые устройства хранения данных NetApp; ОС микрокомпьютеров (PDA) Palm OS, Windows CE / Pocket PC, EPOC (Psion). Превентивная защита сети от вирусов. Не имеющий аналогов на рынке продукт ThreatScan позволяет применять профилактические меры для защиты сети от потерь, связанных с вирусными эпидемиями, посредством регулярных проверок сети на предмет уязвимостей без необходимости привлечения экспертов по безопасности. ThreatScan обнаруживает незащищенные, неуправляемые, зараженные или уязвимые машины сети. Использование ThreatScan позволяет перейти от схемы реагирования на возникшие вирусные эпидемии к схеме предотвращения эпидемий, что избавляет от соответствующих затрат на устранение последствий деятельности вирусов.
Бесплатные антивирусы:
AVTrojan и Anti-VBS http://www.trojan.ru
Эти две простые программы написаны Игорем Суменковым. AVTrojan представляет собой программу, призванную бороться с таким подвидом вредоносных программ, как «троянские кони». Для тех, кто не знает, могу сообщить: это программы, которые рекламируется как нечто полезное, но на самом деле не выполняют такого предназначения или, помимо полезных действий, совершают противозаконные действия в руках злоумышленников. Окно, появляющееся при запуске Anti-VBS, сразу раскрывает все возможности программы. Программа AVTrojan весьма проста, но эффективна. Она позволяет проверить: память, реестр, папки или отдельные файлы как вместе, так и по отдельности. Все функции доступны из панели инструментов продукта или, как обычно, через меню. Настройки программы минимальны, и самыми полезными из них, на мой взгляд, являются запуск одновременно с Windows и непонятно как попавшее сюда охлаждение процессора. Стоит отметить, что в отличие от обычных антивирусов AVTrojan является специализированным средством, созданным только для уничтожения «троянских» программ, поэтому и методы немного отличаются от обычных. Если пользователь запросил удаление «троянской» программы, обычный антивирус пытается удалить соответствующий ей файл на диске. Однако если данная «троянская» программа уже запущена, то ликвидировать такой файл нельзя, потому что он занят Windows. Результат — сообщение «Невозможно удалить вирус», и начинающий пользователь ничего не сможет сделать. AVTrojan же удаляет любую обнаруженную «троянскую» программу в любом состоянии. Если она уже запущена, то принудительно закрываются все процессы в памяти, соответствующие данной программе, и после этого файл корректно удаляется.
Вторая программа, Anti-VBS, имеет весьма узкую специализацию и предназначена для поиска и уничтожения вируса I love you, а также всех его модификаций. В принципе возможно обнаружение и других VBS (Visual Basic Script) вирусов. Никаких настроек и премудростей у программы нет. Галочка «Лечить зараженные файлы» и кнопки «Старт» и «Выход».
InoculateIT Personal Edition http://antivirus.cai.com
Эта программа компании Computer Associates International представляет собой мощный антивирусный комплекс, способный защитить компьютер от любых типов вирусов. Для получения программы надо зарегистрироваться на сайте разработчика. Данный антивирус работает под управлением Windows. Защита осуществляется в реальном времени, необходимый программный модуль загружается одновременно с Windows. Кроме того, вы всегда можете проверить жесткие и гибкие диски на предмет вирусов и других вредоносных программ. Антивирус построен наподобие Проводника, так что вы без проблем можете проверить как отдельные файлы, так и вызывающие у вас подозрения папки. Программа ведет подробную статистику, которая записывается в файл прямо с самого начала работы, отображая все данные в нижнем окне. Кроме того, InoculateIT способен проверять содержимое основных типов архивных файлов, что ставит его в один
ряд с самими современными антивирусами. Программа предусматривает создание шаблонов для проверки по всем дискам, возможность их сохранения и даже создания специальной дискеты для этого. Также данный антивирус защищается паролем, что будет полезно системным администраторам. Опции InoculateIT, касающиеся операций с макровирусами. InoculateIT поддерживает автоматическое обновление баз по вирусам и
поставляется вместе с энциклопедией этих вредных программ, где довольно подробно описаны их основные виды и особенности. Также неплохой Help. Содержит словарь основных терминов, но, как я уже говорил, все на английском языке, так что пользователям, плохо его знающим, от наличия этого словаря легче не станет. Работает программа весьма шустро и в целом оставляет после себя хорошее впечатление.
The Nicks Ghost Buster http://members.tripod.com/~NGBuster
Данная программа российского производства является ревизором диска, работающим в среде Windows 9х и NT. По функциональным возможностям Ghost Buster является конкурентом популярной программы ADinf. Но отличается от последней тем, что работает под управлением Windows. Со всеми вытекающими отсюда последствиями. Такими, как: графический интерфейс (GUI), многозадачная работа, многопоточность, истинная 32-разрядность. Самый главный плюс, по словам автора, в том что, можно обращаться напрямую к дискам (практически любым, не только физическим) через драйвер IOS (Супервизор ввода-вывода или драйвер 32-бит доступа к диску) в обход DOS-резидентов (в частности, Boot-вирусов, перехвативших 13h прерывание при загрузке компьютера), что не под силу DOS-программам. Понятно, что справедливо это только при работе в Windows9x. Основное окно программы The Nicks Ghost Buster заставляет вас вспомнить всем знакомый сериал о четверке охотников за привидениями. The Nicks Ghost Buster запоминает и при каждом запуске проверяет информацию об операционной системе и установленном аппаратном обеспечении — объем оперативной памяти DOS (изменения которой бывают при заражении большинством загрузочных вирусов), количество установленных винчестеров, таблицы параметров винчестера (Hard Disk Parameter Table). При всех этих проверках программа просматривает диск по секторам, обращаясь непосредственно в IOS, и не использует прерывания Int 21h и Int 13h, что
позволяет успешно обнаруживать активные маскирующиеся вирусы (Stealth-вирусы).
Действует программа следующим образом: при первом запуске она запоминает объем оперативной памяти DOS, адрес обработчика INT 13h, таблицы параметров диска и создает таблицы для проверяемых дисков. Потом антивирус проверяет диски в следующей последовательности: Проверяется объем оперативной памяти, доступной DOS, и таблица параметров жесткого диска (HDPT). Проверяются Master-Boot и Boot-секторы. Если найдены их изменения, то сравниваются текущие системные таблицы с теми, которые были ранее, и по желанию можно восстановить прежний сектор. Сектор
Master-Boot анализируется при проверке всех логических дисков. Проверяется список номеров сбойных кластеров, так как некоторые вирусы помечают хороший кластер как сбойный и используют этот кластер для размещения в нем своего кода и данных.
Проверяется дерево каталогов диска. Ищутся новые и удаленные каталоги. Проверяются файлы. Ищутся новые, удаленные, переименованные, перемещенные из одного каталога в другой и измененные файлы. Проверяется изменение длины даты и времени создания
файла и контрольной суммы файла. В завершение изменения анализируются, и если они, по мнению антивируса, «безобидны», т. е. не похожи на проявления вируса, то программа просто представит вам всю информацию об изменениях. Если же происходят «подозрительные» изменения (похожие на проявления вируса), то NGB предупредит вас о возможности заражения. Интерфейс программы весьма прост и нагляден. Есть у The Nicks Ghost Buster одно неудобство — нельзя проверить определенный каталог на диске. Диск всегда проверяется только целиком, по разделам. Вообще же продукт производит приятное впечатление, и его можно смело рекомендовать если не к ежедневному применению, то по крайней мере к знакомству.
В завершении хочу сказать лишь одно, самый сильный антивирус это ваше благоразумие!!!

При создании статьи была использована информация с сайтов: http://www.submarine.ru http://www.avp.ru http://www.symantec.com , а так же других разработчиков программ представленных выше. В публикации был использован фрагмент книги Юлия Кима “Всё о вирусах”.

Роман Карпач