Работа с пакетом антивирусных программ AVP

Характеристики и компоненты пакета AVP

Пакет AVP (сокращение от Antiviral Toolkit Pro) представляет собой систему антивирусной защиты для компьютеров, работающих под управлением ОС MS-DOS, Windows 9.X/NT/2000. Последние версии пакета позволяют контролировать основные источники поступления вирусов: дискеты и различные внешние носители, Интернет и электронную почту, архивированные и сжатые файлы.

Сильной стороной AVP является наиболее обширная в СНГ антивирусная база данных, насчитывающая свыше 40 тыс. вирусов, а также надежная работа в условиях повышенной вирусной опасности, а именно: в сетях, на компьютерах общего пользования и т.п. Пакет позволяет надежно обнаруживать и обезвре­живать полиморфные вирусы, стелс-вирусы, макровирусы и др. AVP содержит эвристический модуль, позволяющий детектировать неизвестные вирусы.

В состав AVP пакета входят следующие компоненты:

AVP Сканер - полностью 32-разрядное приложение, оптимизированное для работы в среде Microsoft Windows 9.X/NT и предназначенное для поиска и удаления вирусов. AVP Сканер имеет удобный пользовательский интерфейс, большое количество настроек, выбираемых пользователем, а также одну из самых больших в мире антивирусных баз, что гарантирует вам надежную защиту от огромного числа самых разнообразных вирусов.

AVP Монитор - резидентный модуль, находящийся постоянно в оперативной памяти компьютера и отслеживающий все файловые операции в системе. По­зволяет обнаружить и удалить вирус до момента реального заражения си­стемы в целом.

AVP Центр Управления - резидентный модуль из пакета антивирусных про­грамм AVP, который выполняет функции управляющей оболочки. Он предназначен для установки, обновления и удаления компонентов пакета, для формирования расписания автозапуска задач и контроля за результатами их выполнения.

AVP Автоматическое обновление - модуль, предназначенный для регулярного обновления антивирусной базы и компонентов AVP через Интернет или сете­вую папку.

AVP Инспектор - программа-ревизор, удовлетворяющая повышенным требо­ваниям к антивирусной защите. При первом запуске программа создает базу данных о файлах, структуре папок, сбойных кластерах на диске. В процессе работы отслеживаются изменения в папках и файлах и фиксируются все воз­можные вирусоподобные действия. После установки пакета AVP в Главном меню появляется группа Программы

-AntiViral Toolkit Pro, в которой вы найдете пиктограммы перечисленных выше модулей пакета.

Сканирование дисков или папок

Если вы хотите проверить на наличие вирусов дискету, диск или папку, то из всех перечисленных компонентов AVP вам нужно выбрать AVP Сканер. Для за­пуска этой программы нажмите кнопку Пуск и выберите опцию Программы -AntiViral Toolkit Pro - AVP Сканер.

В открывшемся окне AVP Сканер будет выведен список приводов и логических дисков, имеющихся на вашем компьютере. В верхней части окна имеется меню, а в нижней части - строка состояния, в которой указывается дата последнего обновления антивирусной базы. Окно программы включает пять вкла­док (Область, Объекты, Действия, Параметры и Статистика). В правой части „окна расположена кнопка Пуск, предназначенная для запуска процесса скани­рования. Далее выполните следующие действия.

• На вкладке Область, открываемой по умолчанию, выделите щелчком мыши диски, которые необходимо проверить. Диск, подлежащий проверке, будет отмечен голубой галочкой в списке дисков. Для ускорения выделения можете воспользоваться флажками Локальные диски. Сетевые диски или Флоппи-диски.

Если вы хотите выполнить проверку определенной папки, нажмите кнопку Добавить папку и укажите папку в последующем диалоге. Выделенная вами папка будет добавлена в общий список объектов. Перейдите на вкладку Объекты и задайте флажками объекты, которые будут проверяться (Память, Секторы, Файлы, Упакованные файлы...). С помощью переключателей в группе Типы файлов задайте типы проверяемых объектов. В этой же группе имеются текстовые поля задания маски для проверяемых фай­лов или для файлов, исключаемых из проверки.

• На вкладке Действия укажите, что именно должна делать программа с инфи­цированными объектами (Только отчет, Запрос на лечение. Лечить без за­проса или Удалять без запроса). На этой же вкладке можно задать папку, в которую выполняется копирование инфицированных или подозрительных объектов. По умолчанию назначаются соответственно папки Infected и Suspicous, находящиеся внутри рабочей папки AVP.

• Выбрав диски и папки, нажмите кнопку Пуск.

После этих действий начнется процесс сканирования, рели с проверяемыми объектами все в порядке, по завершении проверки под кнопкой Пуск появится зеленая надпись ОК с галочкой, а область просмотра будет пустой. Если же при проверке были обнаружены вирусы, то информация о них (имя зараженного файла и название вируса) будет выведена в область просмотра.

Просмотр результатов сканирования

Просмотреть результаты проверки программы AVP вы сможете на вкладке Статистика, на которой отображается информация об инфицирован­ных объектах, предупреждениях, подозрениях на вирус, вылеченных и удаленных объектах. На этой вкладке указывается также последний инфицированный файл, название последнего найденного вируса и последний проверенный файл.

Мониторинг вирусоподобных действий

Модуль AVP Монитор позволяет осуществлять постоянный мониторинг обнаружению вирусов и вирусоподобных действий со стороны различных про грамм. Это возможно благодаря тому, что данный модуль постоянно находится в памяти компьютера и контролирует обращения к файлам и загрузочным секторам Перед тем как разрешить доступ к объекту, монитор проверяет его на наличие вируса. Если в объекте будет обнаружен вирус, монитор предлагает вылечит зараженный объект, удалить объект или заблокировать доступ к нему. То есть AVP монитор позволяет обнаружить и удалить вирус до момента его реальной проникновения в систему.

Чтобы вывести окно монитора на экран, щелкните дважды по значку AVF Монитор, размещенному в области индикаторов на панели задач. Появившееся окно (рис. 43.3) содержит шесть вкладок: Общие, Объекты, Действия, Настройки Статистика и О программе. С помощью элементов управления, размещенных на этих вкладках, вы можете задать нужные настройки программы.

Режим работы программы AVP Монитор устанавливается на вкладке Общие. С помощью этой вкладки можно выполнить следующие действия и настройки:

• включить или выключить монитор (флажок Включить);

запустить программы обновления антивирусных баз данных (кнопка AVP Автоматическое обновление);

• выйти из программы монитора (кнопка Выгрузить AVP Монитор);

запустить полное сканирование вирусов на вашем компьютере (кнопка Сканировать все локальные диски). Обратите внимание, что для завершения работы программы служит специальная кнопка Выгрузить AVP Монитор на вкладке Общие. Эта кнопка необходима, поскольку нажатие на кнопку закрытия окна в правом верхнем углу не приводит к выгрузке программы, как в случае обычных Windows-приложений. Выгрузить AVP Монитор можно еще щелчком правой кнопки мыши по значку монитора на панели задач и последующим выбором команды Выгрузить AVP Мо­нитор. Однако, выгружая монитор, нужно помнить, что вы отключаете постоянную антивирусную защиту компьютера.

Выбор объектов, проверяемых на наличие вирусов, производится с помощью вкладки Объекты. На этой вкладке вы можете установить проверку на наличие вируса исполняемых файлов, проверку всех файлов, а также файлов по заданным маскам.

Действия, которые нужно совершить программе над инфицированными объек­тами, вы можете задать на другой вкладке окна монитора - вкладке Действия. Установите переключатель в одно из положений: Запретить доступ к объекту, Лечить зараженные объекты автоматически или Удалять зараженные объекты автоматически. На этой вкладке установлен по умолчанию флажок, отвечающий выводу на экран сообщений об обнаружении вируса.

Дополнительные возможности монитора можно подключить с помощью вкладки Настройки. Так, установив переключатель Анализатор кода, вы запустите процедуру эвристического анализа кода, при которой обнаруживаются вирусоподобные действия. Включение процедуры Анализатор кода значительно увеличивает число обнаруживаемых вирусов, но снижает скорость сканирования.

3.4.2. Антивирусная программа Doctor Web (Dr.Web)

Популярная антивирусная программаDr. Web имеет мощный эвристический анализатор кода, благодаря которому удается надежно выявлять новые вирусы, еще не известные антивирусной программе. Для обнаружения вирусов Dr.Web использует эмулятор микропроцессора, то есть программный вариант процессора. Любой файл с помощью эмулятора можно проверить на вирусоподобные действия без угрозы заразить непосредственно компьютер.

Версия Dr.Web для MS-DOS компактна и умещается на загрузочной дискете. Это делает данный «антивирус» незаменимым в аварийных ситуациях. В настоящее время разработчиками программы Doctor Web (фирма «ДиалогНаука», г.Москва) выпускается 32-разрядная версия антивирусного сканера для Windows

ES/ME/NT/2000, называемая DrWeb32W.

Запуск сканирования

Для запуска Dr.Web нужно дважды щелкнуть по пиктограмме файла eb32w.exe. Ярлык этой программы вы можете заранее положить на Рабочий либо вывести соответствующую пиктограмму на панель инструментов или в ное меню. После загрузки программы появляется окно.

В этом окне выделите объекты, подлежащие сканированию. Чтобы выделить Диск для проверки, нужно щелкнуть мышью по пиктограмме диска в правой части окна Dr.Web. На пиктограмме выделенного объекта появится красный шарик например, на представленном рисунке выделен диск С:). Чтобы задать папку для сканирования, щелкните по значку «+» рядом с пиктограммой соответствующего диска и найдите нужную папку, аналогично тому, как это делается в окне Проводника. Папка, как и диск, выделяется щелчком мыши.

После выделения объектов, которые необходимо проверить, можете сразу нажать кнопку Start/stop scanning, расположенную в правом нижнем углу окна программы (рис. 44.1). При этом начнется сканирование и лечение объектов согласно установкам по умолчанию. О том, как изменить эти установки, вы прочтете ниже. Процесс сканирования будет отображаться в строке состояния в нижней части

По окончании сканирования вы можете вывести отчет о найденных вирусах, если щелкните по кнопке Report list (Отчет) на панели инструментов. Полный отчет о работе в текущем сеансе (количество проверенных, инфицированных, вылеченных объектов) выводится щелчком по кнопке Statistics (Статистика). Вернуться к прежнему виду окна можно щелчком по кнопке Scan tree (Дерево сканирования).

Настройка программы

Для настройки антивирусной программы нажмите кнопку Settings на панели инструментов, либо выберите команду меню Options - Change settings, либо нажмите клавишу F9. В открывшемся диалоге (рис. 44.2), состоящем из восьми вкладок, вы можете выполнить, в частности, следующие настройки.

Навкладке Scan устанавливаются флажки, отвечающие эвристическому анализу (Heuristic analysis), проверке памяти (Scan memory), загрузочных секторов (Scan boot sectors), поддиректорий (Scan sub- directories). Возможно также задание отображения файлов на дереве каталогов в окне программы (флажок Show files in scan tree).

Вкладка File types позволяет задать формат проверяемых файлов, уста­новить проверку архивных (Archives), архивных исполняемых файлов (Packed executables) и почтовых файлов (E-mail).

Вкладка Actions состоит из трех страниц, отвечающих действиям над зараженными (Infected objects), неизлечимыми (Incurable objects) и подозрительными объектами (Suspicious objects). Вы можете задать тип действия, предпринимаемого программой для каждого типа объектов: отчет (Report), лечение (Cure), удаление (Delete), переименование (Rename) или перемещение (Move to). С помощью флажка Promt for multiple floppies устанавливается режим проверки нескольких гибких дисков. Установленный флажок Prompt on action означает вывод запроса на то или иное действие.

Вкладка Log file позволяет установить параметры log-файла, содержащего шформацию о зараженных, вылеченных и других объектах. В текстовом поле можно ввести имя log-файла, а в группе Log mode следует указать будут ли дописываться результаты очередной проверки в файл (переключатель Append) или будут записываться поверх предыдущих результатов (переключатель Overwrite). Остальные элементы вкладки служат для определения кодировки log-файла, ограничения на размер файла и т.д.

Если вы хотите использовать установленные настройки в последующих сеансах работы с Dr.Web, откройте вкладку General (Общие) и щелкните по флажку Autosave settings on exit.

Вопросы для самоконтроля.

1. В чем состоит особенность алгоритма работы антивирусной программы Dr.Web?

2. Как запустить программу Dr.Web?

3. Как выполнить проверку дискеты с помощью Dr.Web?

4. Как запустить проверку жесткого диска и памяти компьютера?

5. Опишите процесс настройки антивирусной программы Dr.Web.

6. В каком файле содержится информация о зараженных и вылеченных объектах?