Разработка антивирусного монитора

Файл : algoritm.DOC (размер : 45,056 байт)

Метод защиты файлов диска «Эксклюзив»

Начало

Ввод диска для защиты, Вы-

бор типов объектов защиты

и способа доступа к ним.

Конец спискаДа

каталогов?

Нет

Да Конец списка

файлов?

Нет

Неверный типДа

объекта?

Нет

Открытие файла,

с выбранными пра-

вами доступа к нему

других процессов.

Да Продолжать выполнение?

(ДА)

Нет

Да Продолжать выполнение?

(ДА)

Нет

Конец

Метод защиты от копирования программы

Начало

Чтение из памяти При первом запуске

даты изготовления создаётся «dbpg.ini»,

BIOS (0xffff5) содержащий загам-

мированную дату

создания BIOS.

«Программный файл

Файл «dbpg.ini» существ? не существует!» Нет

Да

Чтение из файла

«dbpg.ini» созданной

при установке и загам-

мированной даты BIOS

Гамма-функ-

ции не совпадают?

«Не легальная копия

программы!!!»

Конец

Запуск программы

Гаммирование

Начало

Str = “”

I = 0

SoderjVvoda = ””

Simvol = ””

S = 1

Gamma = “GAMMA”

Нет

S<=Gamma.Length

Да

Simvol = Str[S]

Gamma[S-1]+Нет SoderjVvoda+=

Simvol >= 255 Gamma[s-1]+Simvol

Да

Simvol+=Gamma[s-1]-255

SoderjVvoda+=simvol

Нет

S > Str.Length+1

Да

Конец

Файл : analiz.DOC (размер : 63,488 байт)

Анализ существующих вариантов решения задачи и выбор наиболее приемлемого.

Антивирусные мониторы.

Антивирусные мониторы — это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об этом пользователю. К вирусоопасным относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочные секторы дисков или MBR винчестера, попытки программ остаться резидентно и т. д., то есть вызовы, которые характерны для вирусов в моменты их размножения.

К достоинствам мониторов относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно "выползает неизвестно откуда". К недостаткам относятся существование путей обхода защиты монитора и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ (мне, например, неизвестно ни об одном мониторе для Windows 95/NT — нет спроса, нет и предложения).

Необходимо также отметить такое направление антивирусных средств, как антивирусные мониторы, выполненные в виде аппаратных компонентов компьютера ("железа"). Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными мониторами, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает ложное срабатывание защиты.

Существует несколько более универсальных аппаратных мониторов, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает мониторы крайне непопулярными на фоне остальных типов антивирусной защиты.

Обнаружение загрузочного вируса

В загрузочных секторах дисков расположены, как правило, небольшие программы, назначение которых состоит в определении размеров и границ логических дисков (для MBR винчестера) или загрузке ОС (для загрузочного сектора).

Вначале следует проверить содержимое сектора, подозрительного на наличие вируса. Для этой цели удобно использовать DISKEDIT из "Нортоновских утилит" или AVPUTIL из профессионального комплекта AVP.

Некоторые загрузочные вирусы практически сразу можно обнаружить по наличию различных текстовых строк (например, вирус Stoned содержит строки: "Your PC is now Stoned!", "LEGALISE MARIJUANA!"). Некоторые вирусы, поражающие загрузочные сектора дисков, наоборот, определяются по отсутствию строк, которые обязательно должны быть в загрузочном секторе. К таким строкам относятся имена системных файлов (например, строка IOSYSMSDOS SYS) и строки сообщений об ошибках. Отсутствие или изменение строки-заголовка загрузочного сектора (строка, содержащая номер версии DOS или название фирмы — производителя ПО, например MSDOS5.0 или MSWIN4.0) также может служить сигналом о заражении вирусом, если на компьютере не установлена Windows 95/NT, так как эти системы по неизвестной мне причине записывают в заголовок загрузочных секторов дискет случайные строки текста.