Антивирусный детектор Doctor Web
Как уже говорилось выше, на первой линии обороны идут программы-сторожа. Чаще всего они входят в комплект программ-детекторов (Doctor Web), или в комплект ревизоров (AVP, Norton Antivirus).
Приобретая комплект Doctor Web, вы получаете сразу несколько программ: Drweb32w.exe, 32-х разрядный детектор с графическим интерфейсом для ОС Windows[18], Drweb386.exe, безоконная версия программы для работы в командной строке ОС DOS, и Spider.exe, 32-х разрядный сторож для ОС Windows. При установке детектора вам нужно будет указать язык интерфейса программы и указать папку, где лежит регистрационный ключ программы (Drweb32.key). Без данного ключа программа будет работать лишь в демонстрационном режиме, функции лечения вирусов будут отключены. Также следует указать папку, куда вы хотите установить программу. Желательно ставить её на системный диск (см. выше). После соблюдения всех договоренностей программа-установщик начнет копирование файлов программного пакета на жесткий диск вашего компьютера. После окончания этой процедуры запустится детектор и начнется проверка вашего ПК на предмет наличия "блох". Вы можете дождаться окончания этой процедуры или прервать её после проверки оперативной памяти. Затем компьютер будет перезагружен. Если перезагрузка не удалась автоматически, вам обязательно нужно перезагрузить компьютер вручную.
После перезагрузки на рабочем столе Windows вы увидите новый ярлык с надписью DrWeb32, это и есть ярлык для запуска детектора Drweb32w. Также, справа, на панели задач рядом с счетчиком системного времени, вы увидите значок в виде зеленого паучка – это иконка сторожа Spider. Дважды щелкнув по нему левой кнопкой, можно изменить настройки программы (см.рис.1), а щелкнув правой, можно задать некоторые характеристики.
Рис.1. Окно настроек антивирусного сторожа Spider
Рассмотрим подробнее, что означают настройки в различных вкладках этого окна.
1. Вкладка "Проверка":
§ Режим проверки на лету – вам следует установить режим "оптимальный".
§ Автозагрузка программы – установите эту галочку обязательно, иначе при загрузке ОС сторож загружаться не будет. Кроме того, если при запуске операционной системы сторож не загрузился (иногда такое бывает), вам нужно найти каталог программы и вручную запустить Spider.exe, а затем, открыв окно настроек, установить данную галочку.
§ Также нужно установить все галочки в правой части. Они соответственно означают: эвристический анализ - о нём см. выше; контроль вирусной активности – пресечение всяких "подозрительных" действий вирусов; проверка загрузочной дискеты – проверка дискет, которые могут быть оставлены в дисководе при перезагрузке; защита системного ядра – защита критически важных системных файлов.
2. Вкладка "Типы". Здесь вы можете указать типы файлов, которые нуждаются в проверке:
§ Группа "Режим проверки" – установите переключатель в положение "по формату". Данный режим является оптимальным. Однако если вам приходится получать файлы с переименованным видом расширений, вы можете переключиться в режим "выбранные типы" или "заданные маски", и там уже вручную добавить те расширения, которые вы хотите проконтролировать. Еще раз повторим – все файлы проверять смысла нет, поскольку не всё можно заразить вирусом. И данный режим сильно замедляет запуск программ.
§ Также поставьте все галочки в нижней части окна: проверять файлы в архивах – проверять файлы, которые вы добавляете в архивы, просматриваете в архивах или распаковываете из архивов; упакованные файлы – проверять программные файлы, которые могут быть упакованы различными программами-упаковщиками[19] (не архиваторами); почтовые файлы – обязательно установите, если вы работаете с электронной почтой или в Интернете.
3. Вкладка "Действия". Здесь вы можете задать режимы "войны" с зараженными файлами, или с теми, которые попадают под подозрение. Вдавливая одну из трёх кнопок "Для инфицированных", "Для неизлечимых" и "Для подозрительных" вам нужно поставить переключатель ниже в нужное вам положение. Для зараженных это обычно положение "вылечить". Впрочем, если вы хотите изучить вирус подробнее, зараженную программу можно переместить в какую-либо папку, включив положение "переместить в". Иногда вирусы "убивают насмерть" зараженную программу и её излечение невозможно. В таком случае её остается лишь удалить.
4. Вкладка "Отчет". Здесь вы указываете программе на необходимость вести подробный протокол своих действий. Для этого нужно установить галочку "Вести файл отчета" и указать путь, где будет сохранен данный текстовый документ. Вы можете либо добавлять каждый раз новые сведения в текст, поставив положение переключателя в "добавлять" либо перезаписывать его заново в каждом сеансе работе (положение "перезаписывать"). Первый режим может раздуть отчет до весьма больших размеров, поэтому вы можете укоротить текст до определенного размера, установив галочку "обрезать длиннее" и указав размер файла. Вид кодировки означает возможность просмотра данного отчета в Блокноте Windows (режим ANSI) или же в одной из оболочек DOS (режим OEM) типа Norton Commander. Группа "детали" включает набор галочек для включения некоторых дополнительных сведений. Обычно изменять установленные по умолчанию параметры не нужно. Особенно нежелательно ставить галочку "проверяемые объекты", иначе в отчет попадут имена всех проверяемых файлов, которых может быть весьма много. Насчет имен упаковщиков см. сноску 19, а "имена архиваторов" означают включение в отчет названий программ-архиваторов.
5. Вкладки "Пути" и "Статистика" являются наименее полезными. В первой из них можно указать лишь два параметра – пути к папкам, которые проверять не нужно (например, если в них лишь незаражаемые файлы), и пути к папкам, где могут быть вирусные базы программы. Вообще то лучше обновления вирусных баз записывать прямо в папку самой программы. Обычно это папка C:\Program Files\Drweb for Windows или C:\Program Files\Drweb. Для указания нужного пути вам следует нажать на кнопки с троеточием, и в открывшемся окне выбрать нужную папку, а затем нажать кнопку "Добавить". Во вкладке "Статистика" можно ознакомиться с положением дел на данный момент. Никаких настроек вкладка не содержит.
После изменения настроек сторож предлагает сделать перезагрузку системы для того, чтобы изменения вступили в силу. Если вы не сильно заняты, рекомендуется перезагрузить компьютер, иначе программа иногда "забывает" внести изменения в собственные настройки при длительной работе.
Примечание: Иногда бывает, что компьютер используется для работы таким образом, что заражение вирусами практически исключено. Например, если вы работаете в области компьютерной графики (рисунки и видео не заражаются вирусами и строго соблюдаете правило не оставлять дискету в дисководе при перезагрузке. В таком случае, сторож на свой страх и риск можно отключить. Для чего? А для того, чтобы большие графические пакеты вроде AutoCAD и т.п. загружались и работали быстрее. Поскольку при их работе используется огромное количество библиотек, а сторож их все проверяет, то отключение сторожа может ускорить работу на медленных ЭВМ. Тут уже решать вам самим – либо ускорить работу, либо усилить защиту.
Теперь рассмотрим саму программу-детектор. Внешний вид её представлен на рис.2. Если вы при установке задали русский язык для интерфейса, то все надписи понятны даже маленькому ребенку. Кроме того, если вы задержите указатель мыши над интересующей вас кнопочкой, появится всплывающая подсказка, поясняющая назначение элемента.
Следует отметить, что программа имеет развитую и понятную систему справки в виде гипертекста. Нажав клавишу F1 или выбрав меню "Помощь", можно получить консультации как о работе с программой, так и некоторые сведения о вирусах. Рекомендуем почитать справку при первом же запуске.
В главном окне основными элементами являются дерево папок (в центре) таблица отчета (внизу). На дереве папок вы можете выбрать те диски, которые вам нужно проверить. Отмеченные диски обозначаются красным кружком (см.рис.2, здесь выбран диск Е). Повторный щелчок на отмеченном диске выделение снимает. При необходимости дерево папок можно раскрывать, щелкая по значкам "+" слева от имени диска. В таком случае появляется список подкаталогов (папок) выбранного диска, здесь вы можете отметить только те папки, которые вам нужны. Скажем, при копировании документов нет смысла проверять весь диск. Это долго и нерационально. Вам лучше отметить на дереве папок папку, куда вы скопировали файлы, нуждающиеся в проверке и нажать кнопку "Начать проверку" (кнопка с изображением зеленого человечка справа). При необходимости проверки лишь отдельных файлов, вы можете нажать кнопку слева "Показывать файлы". Тогда в списке каталогов будут также указаны и имена файлов. Отметив нужные имена, начинайте проверку.
Рис.2. Главное окно программы-детектора Doctor Web
Иногда бывает так, что в компьютер попадают лишь документы, причем все они хранятся лишь в одном месте. В таком случае, при каждом запуске программы отыскивать на диске одно и то же место утомительно. В этой ситуации можно указанный путь запомнить на будущее и впредь задавать проверку только его. Для этого нужно выбрать требуемые папки, отметить их красным кружком и в группе слева "Выбранные пути" нажать кнопку "Сохранить". После этого над именами дисков с выбранными папками будут расставлены синие кружки. И при следующем запуске программы, нажав кнопку "Восстановить", вы вновь отметите только выбранные ранее папки. При этом они на дереве папок по умолчанию не показываются (дерево свернуто). Нажав кнопку с изображением зеленого человечка на светофоре, вы запустите проверку файлов на предмет наличия вирусов. Внизу окна побежит синяя полоска-индикатор, которая показывает, сколько всего требуется проверить данных, и сколько проверено сейчас. Отсюда можно прикинуть нужное время на проверку.
После запуска кнопка запуска меняется на кнопку остановки (красный знак "Стоп"). Нажав на неё, вы можете прервать проверку в любой момент. Остановить проверку нельзя только в момент тестирования оперативной памяти (при запуске программы), да и делать этого не нужно.
При наличии упакованных, подозрительных и тем более зараженных файлов, внизу окна в таблице отчета выдаются дополнительные сведения. Действия программы для зараженных, неизлечимых и подозрительных данных задаются в окне настройки.
Все настройки программы осуществляются при нажатии на кнопку с изображением отвертки, либо выбором пункта меню "Настройки". Появится окно настроек, которое практически совпадает с настройками сторожа Spider. Поэтому поясним лишь те пункты, которых в стороже нет.
Вкладка "Проверка". В данной вкладке вы можете указать ряд компонентов, которые следует проверять при работе программы. О галочке "Эвристический анализ" было сказано выше, галочка "Проверять память" задает режим проверки оперативной памяти[20] при пуске программы. Если вы проверяете только дискеты, и у вас запущен сторож Spider, то галочку можно убрать. Так программа запустится быстрее. "Проверять загрузочные секторы" означает, что программа будет проверять также загрузочные записи на всех проверяемых дисках. Также описано выше. И соответственно, "Проверка подкаталогов" включает режим проверки не только выбранных каталогов, но и подкаталогов, которые могут содержаться в отмеченном каталоге. Вообще-то, желательно чтобы все галочки в данной вкладке были установлены. Так надёжнее.
Вкладка "Общие". Здесь доступны два флажка[21] - "Автосохранение настроек при выходе" и "Использовать настройки из реестра". Первый означает, что все изменения в настройках, которые вы успели проделать, будут сохранены на будущее. К примеру, если вы указали пути, действия, типы проверяемых файлов и пр., лучше задать их один раз, чем каждый раз настраивать программу заново. Тогда галочку нужно поставить. Второй флажок означает, что программа будет запоминать в системном реестре все данные о внешнем виде программы: размер окон, их расположение, наличие таблицы отчета и прочие элементы. Чуть ниже обоих флажков находится бегунок (ползунок) уровня приоритета проверки. Указателем мышки его можно перемещать в сторону более высокого или более низкого значения. Чем выше приоритет проверки, тем более "нагло" ведет себя программа, отнимая больше времени процессора и ресурсов операционной системы у других программ. Иногда это может привести к тому, что другие запущенные в данный момент программы "от обиды" зависают из-за нехватки "внимания" со стороны процессора и нехватки ресурсов операционной системы. Поэтому, лучше всего проверять "антивирусником" тогда, когда нет запущенных параллельно программ. В этом случае можно установить высший приоритет проверки, и она будет осуществляться гораздо быстрее.
Вкладка "Обновление". В данной вкладке указывается путь к серверу фирмы "Диалог-Наука" и подкаталоги сервера для обновления версии программы. По умолчанию доступ открыт к некоммерческому разделу http://www.dials.ru/drweb/free. Если вы являетесь зарегистрированным пользователем программы, тогда вам нужно ввести имя пользователя и пароль, которые вам были выданы при регистрации. В случае вашего доступа в сеть Интернет через локальную сеть и прокси-сервер, нужно будет указать пароли доступа к прокси-серверу и ваше имя пользователя. Для зарегистрированных пользователей можно указать другие разделы сервера обновления. Подробнее они описаны в справке.
И во вкладке "События" вы можете указать программе на необходимость издавать душераздирающие звуки при обнаружении ею какого-либо зловредного элемента. Скажем, вируса, или других подозрительных "субъектов". Если у вас имеется привычка задавать проверку на вирусы и идти пить кофе, то данная вкладка может сэкономить вам время. Потому что по умолчанию, программа, найдя вирус, выдаст на экране запрос на его лечение. И если вас в данный момент нет рядом, или вы не обращаете на экран внимания, она так и прождёт до вашего прибытия.
После нажатия на кнопку "Ок" программа закроет окно настроек и можно либо приступить к проверке, либо закрыть программу щелчком на крестике в правом верхнем углу окна программы, или же нажав на кнопку с дверью.
После запуска на проверку диска следует запастись терпением, ибо этот процесс достаточно долгий, особенно если у вас дисков много и они большой емкости. В ходе работы программа будет вас информировать о наличии зараженных файлов, если таковые есть, а также выводить сведения о том, каким вирусом они поражены. Иногда при подозрении на наличие в оперативной памяти неизвестных вирусов программа выводит сообщение вида "В памяти компьютера (6А00:6С00) возможно нахождение резидентного вируса!". Часто это "ругательство" бывает оправданным. Вам следует перезагрузиться с "чистой" дискеты и проверить ваш ПК на предмет наличия инфекции.
Если при проверке вы получаете много сообщений о возможном поражении вирусами и все они одного типа, то весьма вероятно, что вы "подхватили" неизвестный программе вирус. К примеру, возможны сообщения вида: имя-файла возможно инфицирован тип.virus. Здесь тип указывает на подозреваемые характеристики вируса. Типы СОМ и ЕХЕ указывают на вирус, предположительно заражающий исполняемые программы. Тип TSR на резидентный (остающийся в памяти постоянно) вирус, тип ВООТ – на загрузочный вирус, тип MACRO на вирус заражающий документы, и тип CRYPT на полиморфный (мутирующий) или зашифрованный вирус. В подавляющем большинстве подозрения на ВООТ-вирус бывают оправданы. В данном случае также следует проверить машину, загрузившись с "чистой" дискеты.
Остается рассмотреть режимы работы в командной строке DOS, потому что при загрузке с дискеты графическая оболочка будет недоступна.
Для лечения и проверки в режиме командной строки вам придется проделать следующие операции:
§ Следует создать системную дискету в операционной системе Windows 98 или выше, ОС Windows 95 не годится, так как не включает в системную дискету драйвер дисковода компакт-дисков. Впрочем, можете подключить его самостоятельно, если сумеете. Дискету затем нужно защитить от записи путем перемещения защелки в одном из углов дискеты. Если защелка открыта, то есть имеется просвет, на дискету запись невозможна. Данная мера предпринимается на всякий случай, чтобы вирус не мог внедриться на дискету при проверке.
§ Записать на перезаписываемый компакт-диск (CD-RW) файлы с именами drweb386.exe, drweb32.dll, drweb32.key, russian.dwl, drweb32.ini[22], drwebase.vdb, drwtoday.vdb, а также все файлы дополнительных вирусных баз с расширением *.vdb. Например, drw42812.vdb. Также можете записать туда одну из оболочек ОС вроде Norton Commander, Volcov Commander, DOS Navigator и т.п. Оболочка FAR, а также графические оболочки не годятся, поскольку не будут работать в режиме MS DOS.
§ После этого, загружаясь с дискеты, вам следует выбрать режим с поддержкой привода компакт-дисков (Start computer with CD-ROM support). Далее, выбрать по окончании загрузки диск с именем вашего дисковода компакт-дисков. Набирая в командной строке имя оболочки ОС запустите её, а затем запустите программу drweb386.exe с ключом "?" (drweb386.exe/?). Либо можете самостоятельно набрать данную команду. Таким образом, вы получите на экране перечень всевозможных ключей программы, отвечающих за те или иные действия. Если у вас был записан файл russian.dwl, то все пояснения будут выданы на русском языке, в противном случае придется довольствоваться английским описанием.
Рассмотрим ключи программы. Все они указываются в следующем виде: drweb386 диск:\путь\маска /ключи, где в качестве диска указываются имена дисков вашего ПК, указание вместо имени знака * (звездочка) означает проверку всех доступных дисков. При необходимости проверки отдельного каталога можно указать путь. Также можно указать проверку только определенного вида файлов путем задания маски файлов в виде *.расширение (например, d:\*.doc). Однако задать проверку определенного расширения сразу для всех дисков вам не удастся, придется проверять их по очереди. Впрочем, вы можете создать пакетный файл и запускать его (см. пример ниже).
Теперь подробнее о наиболее важных ключах. Следует заметить, что заданные ключи отменяют действия параметров, указанных в файле конфигурации, имейте это в виду. Естественно, к важным относятся ключи поиска, лечения, и режимов проверки.
Примечание: ключи нужно отделять друг от друг знаком пробела, иначе они будут проигнорированы (например, drweb386 c: /AR- /NM /HA /TB).
К параметрам поиска относятся пути поиска, объекты для поиска (т.е. типы файлов в которых будет проводиться поиск), и режимы "подозрительности" (эвристический режим). При запуске программы вы можете указать, что тестировать оперативную память[23] не нужно, в таком случае программа запускается гораздо быстрее. Данный режим допустим, если вы уверены, что ни системная дискета, ни ваши программы на компакт-диске не заражены вирусами. В таком случае проверку можно отменить ключом /NM. Принудительно тестировать память можно ключом /ТМ. Как задать пути на дисках вашего ПК, уже было рассмотрено выше. Хотя программа имеет возможность проверки только отдельных каталогов, данный режим является практически бесполезным, так как никто не гарантирует, что зараженные объекты не останутся в других папках вашего компьютера. Поэтому режимы частичного поиска рассмотрены не будут. Для указания проверки всех загрузочных записей на ваших дисках применяется ключ /ТВ.
Объектами проверки являются, естественно файлы. Ясно, что файл файлу рознь, соответственно, проверять всё нет смысла, так как вирусы поражают лишь определенные типы данных. Поэтому при проверке можно указать, что именно вы хотите проверить. Для проверки файлов по формату (т.е. по их строению) задается ключ /FM, в данном режиме программа определяет тип файла по его структуре, таким образом можно проверить данные, имеющие измененное расширение. Для отмены этого режима задайте тот же ключ со знаком "минус", т.е. /FM-, это чуть ускорит проверку. Для проверки только по расширению служит ключ /ЕХ. В случае работы с электронной почтой проверке также следует подвергнуть и файлы электронных писем. Для этого служит ключ /ML, для отмены то же с минусом /ML-. Для проверки архивов служит ключ /AR, режим также отменяется минусом /AR-. Немало исполняемых программ для уменьшения места также сжимаются (упаковываются) их создателями. Проверка с распаковкой таких программ нужна для того, чтобы зараженная и затем упакованная программа была правильно проверена и вылечена антивирусной программой. Задается такая проверка ключом /UP, для отмены /UP-. Есть еще один режим для файлов, которые могут быть носителями потенциально вредных объектов. Это так называемые контейнеры, файлы с расширениями HTML, RTF, файлы PowerPoint. Для таких данных проверка задается ключом /CN.
Остается заметить, что отключение указанных режимов ускоряет работу программы, но вы рискуете пропустить вирусы, таящиеся в почтовых файлах и архивах. Поэтому желательно проверку проводит полную.
По умолчанию программа будет лишь искать вирусы, и при их нахождении просто информировать вас об их наличии. Для того, чтобы время не пропадало зря, вам следует указать, что нужно лечить зараженные объекты. Для этого служит ключ /CU, а если вы хотите, чтобы перед лечением программа запрашивала разрешение на него, укажите ключ не /CU, а /CUP.
Как уже говорилось, программа может определять наличие неизвестных вирусов путем эвристического анализа. Для задания режима такого поиска нужно указать ключ /НА. Отключение режима /НА-. Эвристический анализ ощутимо замедляет скорость проверки, но позволяет найти неизвестный вирус, если он поселился на вашем ПК.
Для программ, которые не подлежат излечению, можно задать режимы удаления, перемещения, переименования соответственно ключами /ICD, /ICM, ICR. Для того чтобы программа не проявляла излишней инициативы, следует указать в конце ключа буковку Р, например /ICDР. Практически во всех указываемых ключах буква Р в конце означает запрос пользователя на подтверждение операции.
Для того, чтобы не набирать постоянно большое количество ключей для каждого существующего у вас диска, вы можете создать так называемый пакетный (командный) файл и перечислить в нем требуемые параметры. Примерное содержание такого файла приведено ниже.
Пример командного файла
@echo Проверка на вирусы
@echo Диски C и D подлежат полной проверке по формату
@echo На диске Е проверяются только файлы документов
@echo ************ Проверяем диск С************
DRWEB386 C: /AR /CN /CUP /FM /HA /ICP /ML /UP /TB /TM /SD /SO
@echo ************ Проверяем диск D************
DRWEB386 D: /AR /CN /CUP /FM /HA /ICP /ML /UP /TB /TM /SD /SO
@echo ************ Проверяем диск E************
DRWEB386 E:\*.DOC /CUP /HA /SD /SO
@echo Проверка завершена
Создав простой текстовый файл в любой оболочке ОС, вам следует присвоить ему расширение ВАТ, например Test.bat, и сохранить его в каталоге с антивирусной программой. Затем, набрав слово Test, вы запустите детектор на проверку в соответствии с указанными режимами. В данном файле встречаются ключи /SD и /SO, не рассматриваемые ранее. Они соответственно означают проверку во вложенных каталогах дисков и выдачу звуковых предупреждений. При отсутствии программ-оболочек можно в командной строке DOS набрать строку copy con test.bat и нажать клавишу ввода. Затем набрать указанные команды и по завершению набора нажать клавишу F6 и клавишу ввода. Для переключения на русский и английский алфавиты служат соответственно правые клавиши Ctrl+Shift и левые Ctrl+Shift.
Подробнее о ключах программы можно узнать в справочной системе программы DrWeb32w в разделе "приложение - ключи командной строки".
Примечание: остается заметить, что на загрузочной дискете в файле автозапуска autoexec.bat должен быть указан путь к папке временных файлов программы. Данные файлы образуются при распаковке сжатых файлов и могут занимать значительное место на диске. Естественно, папка должна быть на диске, разрешенном для записи, например в разделе С жесткого диска. Тогда вам следует вручную прописать в данном файле autoexec.bat строки[24] set temp=c:\ и set tmp=c:\. Иначе программа будет "ругаться" о невозможности создать временные файлы, так как записать на компакт-диск, конечно же, она не может.