Просмотров: 6856

ADInf32: ревизор по вызову. Часть 2


Во прошлой части статьи мы рассмотрели теорию и базовые алгоритмы по работе различных типов антивирусов, для лучшего понимания специфики и устройства антивирусных ревизоров вообще. Сегодня же мы подробно и комплексно рассмотрим как минусы, так и плюсы использования ревизора ADinf32, кроме того, ознакомимся с основными принципами работы с ним, ну и в завершение нашего обзора — перечислим все существующие редакции и условия использования этого известного антивирусного продукта от одной из ведущих российских компаний, специализирующихся в области информационной безопасности, — «ДиалогНаука».

Если добавить от себя и кратко резюмировать общее содержание и назначение обеих статей — то смысл меседжа будет таков: почему вы очень много теряете, исключив из своей безопасности антивирусные ревизоры — это, во-первых, а во-вторых, — никогда не поздно узнать что это такое, и какие преймущества дает вам ADinf, если раньше вы про него ничего не знали.

Как уже, наверное, стало понятным из прошлой части одноименной статьи, общий алгоритм использования дискового ревизора ADInf сводится к тому, что, запустив его на проверку первый раз, вы инициируете ознакомительный проход ревизора по файлам вашей системы. Очень желательно, чтобы перед этим вы всё-таки настроили оптимальные маски контролируемых файлов, чтобы несколько сузить зону проверки, дабы ревизор не тратил много времени на создание лишних контрольных сумм для файлов справок (помощи), музыкальных и видеофайлов и прочих неисполняемых файлов, где появление вируса крайне маловероятно, если не сказать даже, что невозможно.

Итак, сформулируем минимально возможный фильтр для проверки дисков — это проверка активного загрузочного раздела с системой (как правило, это диск C), при этом следует поставить на контроль все исполняемые и системные файлы (.exe, .com, .bat, .cmd, .drv, .sys, .ovl, .dat, .bin, .scr, .dll, .pif и т.д.), проверка такого минимального списка занимает по времени, как правило, буквально пару минут, при этом достаточно серьёзно минимизирует вирусные угрозы.

Также важно очень ясно и четко понимать, что первый ознакомительный запуск должен производиться на заведомо чистом компьютере, идеально — сразу после установки Windows. В противном случае, если в системе уже поселился зловред (неважно — знаете вы об этом или нет), эффективность и смысл от дальнейшего использования дискового ревизора будут сведены к нулю. В любом случае перед снятием эталонных контрольных сумм во время первого запуска ADinf есть смысл хотя бы раз прогнать полную проверку всех дисков вашего компьютера традиционным антивирусом-полифагом со свежими базами.


ADinf32 в работе: идет анализ дерева каталогов
...

После первого ознакомительного прохода, когда эталонные контрольные суммы отмеченных файлов будут сохранены в таблицах, все следующие запуски будут уже в режиме проверок — то есть будет происходить автоматическое сличение этих контрольных сумм в базе с текущими. О любом отклонении ревизор незамедлительно сообщит вам, что потребует вдумчивого анализа истории изменений подозрительного файла и, вероятно, будет значить, что ваш компьютер был заражен неким вирусом. Настроить конкретные диски для проверки, файлы-папки, расширения и исключения, глубину и методы контроля для таких регулярных проверок предлагаю каждому самостоятельно, исходя из его персональных предпочтений и требований к уровню безопасности своего компьютера.

Преимущества и недостатки ревизоров

У ADInf, как и у любой другой технологии, конечно же, есть недостатки, поэтому давайте честно перечислим основные из них:

    • Снимать контрольные суммы для контролируемых файлов имеет смысл только на заведомо чистой операционной системе, т.е., например, сразу после полной переустановки Windows. Итак, повторюсь, главное правило — ADInf нужно ставить как можно раньше после переустановки Windows, желательно до установки любых других программ, гарантированно на чистую ОС.
    • Если вирус заражает файлы методом их перезаписи, то теоретически он может «подогнать» новую контрольную сумму файла так, чтобы она совпадала со старой — до его модификации. В таком случае, конечно, ADInf ничего не заметит, но сразу хочется отметить низкую вероятность подобной ситуации (версия ADInf Pro полностью исключает даже такую гипотетическую возможность — см. описание версии Pro ниже).
    • Как правило, ADInf ничего не лечит и не предназначен для этого, его основная функция — гарантированно детектировать появившийся новый вирус, после чего вас любезно оставляют наедине с осознанием этого печального факта. Впрочем, мы подготовили нижеследующую главу — Варианты действий для лечения обнаруженного вируса (см. ниже), чтобы, по возможности, сгладить этот неприятный для многих новичков момент.
    • Важно сразу запомнить, что, поскольку ADInf читает диски на низком уровне посекторно, он не может контролировать ваши сетевые диски. Если нескoлькo машин объединены сетью, то ADInf32 должен быть установлен на каждой машине. ADInf32 предназначен для работы только с локальными дисками компьютера!
    • На некотором железе возможна несколько нестабильная работа с дисковой подсистемой ввода-вывода. Подчеркиваю, что хотя это и редко встречается, но имеет место быть (я лично был свидетелем этого).

Чтобы пояснить это несколько туманное последнее замечание, я приведу пример из жизни, его прекрасно иллюстрирующий.

ADInf использует некоторые недокументированные прерывания и вызовы, чтобы получить гарантированный привилегированный, прямой доступ к содержимому вашего винчестера (по понятным причинам, описанным выше), что иногда может приводить к зависаниям системы. Например, недокументированное прерывание 76h — это аппаратное прерывание, которое генерируется IDE-контроллером при завершении любой операции с диском. Существуют вирусы, которые используют это прерывание для маскировки своего присутствия на машине (для создания очень мощной stealth-компоненты). Фактически эти вирусы маскируются на аппаратном уровне, используя аппаратные возможности IDE-контроллера.
 
Для успешного обнаружения вирусов подобного класса ADInf перехватывает и пытается самостоятельно обрабатывать прерывание 76h. Однако такая самостоятельная обработка может быть несовместима с некоторыми нестандартными BIOS или специфическими драйверами для 32-битного доступа к IDE-дискам. В случае такой редкой ситуации программа-ревизор зависает, выдав сообщение «Открытие диска…“. В данном конкретном случае нужно просто перезагрузиться и повторно запустив ADInf, в командной строке которого, перед запуском, указав ключ "-76» для отключения подобной экстремальной техники доступа к винчестеру, которая не работает конкретно на вашем компьютере.

И теперь кратко перечислим его главные преимущества:

    • Практически 100%-ная гарантия обнаружения любых изменений в файлах, поэтому пропустить появление зловреда, при правильных настройках программы-ревизора, практически невозможно.
    • Гораздо более быстрый проход при проверке диска по сравнению с традиционными антивирусами-полифагами. При понимании принципов работы и точной настройки типов проверяемых файлов эта скорость работы повышается в разы. Поэтому, вероятно, есть смысл сформулировать свою стратегию безопасности таким образом, чтобы ежедневно проверять свой компьютер на вирусы именно ревизором ADinf, а при появление каких-либо уведомлений об изменении исполняемых файлов немедленно пускать в бой «тяжелую артиллерию» — ставить на тотальную проверку компьютера антивирусом-полифагом.
    • При такой методике работы ревизора не требуется никаких обновлений неких антивирусных баз или чего-то в этом роде. Таблицы контрольных сумм, будучи созданы единожды, будут всегда служить достоверным средством установления повреждения или заражения любого исполняемого файла из контрольного списка.

Варианты действий для лечения обнаруженного вируса (подозрительного файла)

1) Сделать все самому

Самому взять любимый отладчик и «загнать» под него найденный зараженный файл. На этом варианте мы даже не будем останавливаться здесь, потому что эта статья ориентирована на обычных пользователей.

2) Немедленно проверить весь компьютер установленным у вас антивирусом

Проверить все жесткие диски подозрительного компьютера антивирусным полифагом, если он установлен у вас на компьютере. При этом, конечно, очень желательно, чтобы у вас были самые свежие антивирусные базы к нему, поэтому, по возможности, перед началом проверки обновитесь. Как вариант можно использовать аварийные спасательные загрузочные диски с заранее записанной туда портабельной версией антивируса — лучше сразу загрузиться с такого диска. Хочу обратить внимание, что почти все ведущие антивирусные производители выпускают собственные загрузочные диски со своим антивирусом, поэтому стоит запастись подобным диском заранее (опять же стоит следить за актуальностью баз на нем, тем более в таком типе решения их обновление более затруднительно).

3) Обратиться по Интернету в службу поддержки антивирусной компании

Можно выслать подобный подозрительный файл в службу поддержки антивирусной компании, которой вы доверяете. Как правило, на сайте всех антивирусных компаний есть специальный раздел, где указан адрес или способ, используя который можно выслать (загрузить) подобный зараженный файл для его исследования и включения по факту обнаружения нового вируса в базу данных данного антивируса. Мой опыт говорит о том, что в случае обнаружения действительно нового вируса производитель включает его в свою базу очень оперативно — от нескольких часов до 2–3 дней. Как правило, подобные услуги бесплатны, т.к. антивирусный производитель сам заинтересован в том, чтобы его база вирусов была как можно более полной и актуальной.

4) Попробовать детектировать вирус на VirusTotal

Проверить на интернет-сервисе VirusTotal, который позволяет загрузить по Интернету свой подозрительный файл на него, и бесплатно удаленно проверить его на вирусы — сразу на десятке ведущих антивирусов мира. Если вирус в вашем файле уверенно детектируется каким-то другим антивирусом на этом онлайн-сервисе, то, наверное, есть смысл сделать выводы насчет вашего текущего антивируса и попробовать установить вместо него именно этот антивирус, уже для дальнейшего лечения своего компьютера. В любом случае, имея название обнаруженного вируса на руках, вы можете посмотреть в Интернете, чем он опасен и как следует его лечить.

5) Воспользоваться собственным модулем лечения от ADInf

Для лечения заражённых файлов можно применять лечащий модуль ADInf Cure Module, не входящий в пакет ADInf и поставляющийся отдельно. Принцип работы модуля — сохранение небольшой базы данных, описывающей контролируемые файлы. Работая совместно, эти программы позволяют успешно вылечить около 70% файловых вирусов и 100% вирусов в загрузочном секторе. Но все же не стоит сильно обнадеживаться ADInf Cure Module, т.к. его возможности во многом ограниченны — я рекомендую вместо него выбрать качественный полифаг. Тем более что последние версии ADinf32 больше не поддерживают Cure Module, а разработка самого модуля приостановлена.


ADinf32 заподозрил что-то неладное...

Редакции и условия использования программы

ADinf32 распространяется как shareware-продукт. Программа предоставляется как 90-дневная полнофункциональная пробная версия, после истечения этого срока программу требуется зарегистрировать, купив специальный ключ. При этом программа предоставляется в трех базовых версиях:

    • ADinf — это DOS-версия, во многом уже морально и технически устаревшая, но ещё могущая быть востребованной на старых компьютерах;
    • ADinf32 — это нативное 32-разрядное приложение, полностью адаптированное к ОС семейства Windows. Обращаю ваше внимание, что для работы с Windows 7 требуется именно последняя, четвертая, версия программы, которая поставляется как в 32-битном виде, так и в 64-битовой версии — для обеих редакций Windows 7;
    • ADinf32Pro — это полностью аналогичная версия ADinf32, единственное отличие которой — использование для контроля целостности особо ценных данных, таких как документы, базы данных, персональные архивы и т.п. — продвинутого алгоритма LAN64, который вычисляет 64-битную хеш-функцию, разработанную фирмой «ЛАН Крипто». Эта функция гарантирует даже теоретическую невозможность какой-либо модификации данных без изменения значения хеш-функции файла, что дает абсолютный контроль над целостностью данных, которые вы мониторите с помощью дискового ревизора ADinf.

ADinf в полной мере поддерживает следующие операционные системы: Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP, Windows 2003, Windows 7 (32b), Windows 7 (64b). Интерфейс программы включает в себя переводы на языки: русский, английский, немецкий.

Общие антивирусные советы пользователям компьютеров

Из всего вышесказанного разумно вытекает, что каждая программа по отдельности, будучи создана для своей узкоспециализированной задачи, не в состоянии заменить другую. Поэтому наиболее взвешенным решением является сочетание полифага и ревизора, что совместно практически полностью гарантирует антивирусную безопасность вашего компьютера.

Также следует обратить внимание и на появление новых подозрительных файлов, о которых так любезно сообщит вам ревизор, особенно должно вызывать подозрения, если эти новые файлы вдруг оказываются в списке автоматической загрузки операционной системы или самопроизвольно появляются в системной папке с Windows.

Поэтому, понимая, что троян не обязательно после проникновения в компьютер традиционно заражает/модифицирует какой-то другой исполняемый файл, а, возможно, просто создает новый исполняемый файл — нужно особенно внимательно следить за списком всех автозагружаемых модулей и файлов вашей системы. Поэтому к традиционному сочетанию полифаг — ревизор хочу посоветовать установить ещё какую-либо системную утилиту для отслеживания изменений в разделах реестра, ответственных за автозагрузку программ при старте ОС — это любимое интимное место всех троянов и вирусов. В качестве завершающего совета хочется посоветовать файрвол как эффективный инструмент сетевой безопасности, что, впрочем, уже выходит далеко за рамки этой статьи.

В заключении, хочется напомнить, что по статистике специалистов примерно 30% всех вирусов в мире распространяется через традиционные флешки, тогда как оставшиеся примерно 65% — загружаются тем или иным способом через Сеть.

Поэтому обязательно проверяйте на вирусы все, что вам приносят на флешке, даже самые лучшие друзья, а также все, что загружаете к себе по Сети. В довершение будет вообще замечательно, если вы не будете работать на своем компьютере под аккаунтом администратора — все эти простые советы, наряду, конечно, с регулярным использованием комплекса специализированных антивирусных инструментов, о которых мы вам сегодня подробно рассказали, уберегут от множества неприятных моментов, потерянной ценной информации и даже, возможно, от проблем с вашим банком и потерянной деловой репутацией.

 

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com bobrdobr.ru yandex.ru del.icio.us

Подписка на обновления блога → через RSS, на e-mail, через Twitter
Теги: , , , , ,
Эта запись опубликована: Воскресенье, 7 августа 2011 в рубрике Обзоры.

1 комментарий

Следите за комментариями по RSS
  1. Евгений

    Спасибо за очень интересную и содержательную статью

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Зарегистрировать/комментатор

Для регистрации укажите свой действующий email и пароль. Связка email-пароль позволяет вам комментировать и редактировать данные в вашем персональном аккаунте, такие как адрес сайта, ник и т.п. (Письмо с активацией придет в ящик, указанный при регистрации)

(обязательно)


⇑ Наверх
⇓ Вниз