ЛАБОРАТОРНАЯ РАБОТА №12

Тема работы: Работа антивирусных программ.

Цель работы:

Изучить особенности работы антивирусной программы AntiViral Toolkit Pro.

Теоретическая часть:

При запуске AVP загружает антивирусные базы данных, тестирует оперативную память на наличие резидентных вирусов и проверяет себя (файл AVP32.EXE)  на предмет заражения вирусом (при первом запуске AVP, также сообщает краткие сведения о программе, регистрации и технической поддержке). После успешной загрузки, в нижней строке окна программы выводится сообщение: “Антивирусные базы загружены. Известных вирусов: XXXX”, где XXXX - число вирусов.

ВНИМАНИЕ! При загрузке, в случае инфицирования файла AVP32.EXE, на экране появится диалоговое окно “Зараженный объект”. Если  у Вас имеется “чистая” дистрибутивная копия AVP, мы рекомендуем Вам удалить зараженную копию программы и переустановить AVP на Ваш винчестер.  Если такой возможности у Вас нет, то выберите в окне “Зараженный объект” пункт “Лечить”, при этом AVP вылечит сам себя, предложит Вам перезапустить программу и закроет свое главное окно.

Если на Вашем компьютере хранятся ценные данные, настоятельно рекомендуем Вам регулярно делать их резервные копии. “Тип файлов” содержит четыре переключателя: Программы по формату - сканировать программы, т. е. файлы, имеющие внутренний формат запускаемых файлов DOS: COM, EXE и SYS, Windows: EXE, VxD, DLL и файлы, имеющие формат документов и таблиц Microsoft Office (OLE2). Таким образом, при проверке по формату проверяются все файлы, способные содержать код вируса. Программы по расширению - сканировать все файлы, имеющие расширения *. BAT, *.COM, *.EXE, *.OV*, *.SYS, *.BIN, *.PRG.

При использовании AVP в командном файле, после завершения его работы, можно получить следующие кода возврата (errorlevel):

0 - вирусов не обнаружено;

1 - сканирование не закончено;

2 - найдены объекты, содержащие измененный или поврежденный вирус;

3 - найдены объекты, подозрительные на вирус;

4 - обнаружен вирус;

5 - все обнаруженные вирусы удалены;

7 - файл AVP32.EXE поврежден;

10 - внутренняя ошибка программы AVP.

Анализатор кода (эвристический сканер) проверяет коды файлов и секторов по разным ветвям алгоритма сканируемой программы на наличие вирусоподобных инструкций и выдает сообщение, если обнаружена комбинация команд, таких как открытие или запись в файл, перехват векторов прерываний и т.д. При сканировании кода Code Analyzer проверяет много ветвей алгоритма программы (включая несколько подуровней). Вследствие этого AVP работает примерно на 20% медленнее при включенном Code Analyzer, чем при выключенном. Но данный механизм определяет около 80% вирусов (включая многие шифрованные) из нашей коллекции, и мы рассчитываем, что новые неизвестные вирусы будут определяться с такой же вероятностью.

Пораженные вирусом файлы могут быть компрессированы такими паковщиками так же, как и неинфицированные. При сканировании обычными антивирусными программами пораженные таким образом файлы будут определяться как неинфицированные, так как тело вируса упаковано вместе с кодом программы.

Unpacking Engine распаковывает файлы, созданные наиболее популярными утилитами упаковки: DIET, PKLITE, LZEXE и EXEPACK различных версий, во временный файл и передает его на повторную проверку. Если внутри упакованного файла обнаружен известный вирус, то возможно его удаление. При этом исходный файл замещается распакованным и вылеченным. Механизм распаковки корректно работает и с многократно упакованными файлами.

Ход работы:

1.   Откройте окно антивирусной программы AntiViral Toolkit Pro (Пуск->Программы->AntiViral Toolkit Pro->AVP-сканер). Законспектируйте дату последнего обновления антивирусных баз и количество известных программе вирусов.

2.   Откройте еще одно окно данной программы и в главном меню, в меню Сервис выберите опцию Создать список вирусов и дождитесь окончания создания списка вирусов, после этого просмотрите какие из известных вам видов компьютерных вирусов може лечить данная программа?

3.   Просмотрите вкладки окна: Область, Объекты, Действия, Параметры, Статистика. Дайте характеристику каждой вкладке.

4.   Выберите вкладку Область, в верхнем большом окне появится список доступных дисководов в системе. Двойным щелчком мыши выберите диск С:. Щелкните по кнопке Добавить папку, появится диалоговое окно Обзор папок. Щелкните по знаку + напротив диска С:, в окне появится содержимое корневого каталога диска С:. Выберите папку STUDENT и нажмите ОК. В окне доступных дисководов будет уже отмечена синей галочкой папка STUDENT.

5.   Вкладка Область содержит три опции для автоматического выделения сканируемой области: Локальные диски, Сетевые диски, Флоппи дисководы. Щелкните по каждой штуке и посмотрите как изменится выделенная область для сканирования.

6.   Перейдите на вкладку Объекты. В области Тип файлов выделите опцию По маске, и в открывшемся для редактирования поле введите *.exe и нажмите клавишу Пуск. Просмотрите файлы с каким расширением просматривает программа-сканер. нажмите кнопку Стоп, для того чтобы остановить сканирование. Выделите теперь опцию Все файлы и опять запустите сканирование, просмотрите какие файлы сканирует программа? Проверьте работу остальных опций.

7.   Опции, стоящие слевой стороны должны быть всегда все отмечены для высокого уровня безопясности.

8.   Перейдите на вкладку Действия. В области Зараженные объекты выберите опцию Лечить без запроса. Проверьте как работает сканер. Зараженные файлы можно скопировать в Папку зараженных или в Отдельную папку. Выделив соответствующие опции.

9.   Выберите вкладку Параметры. Щелкните по кнопке Настройки, в появившемся окне выберите опцию Выбор пути сканирования по одиночному нажатию клавиши мыши и нажмите ОК. Перейдите на вкладку Область и  выделите диск D: одиночным нажатием клавиши мыши. Снимите выделение всех дисков, кроме каталога STUDENT. Вернитесь на вкладку Параметры выберите опции Отчет о чистых объектах и Отчет об упакованных объектах и запустите сканирование. Просмотрите в нижнем окне отчет о результатах сканирования. Распечатайте содержимое файла Report.txt (С:\ProgramFiles\AntiViral Toolkit Pro\Report.txt). Включите опцию Избыточное сканирование  и на запрос начала проверки ответьте утвердительно. Отметьте в отчете изменение скорости сканирования.

10.          Перейдите на вкладку Статистика и законспектируйте содержимое вкладки.

11.          В главном меню выберите меню Файл и откройте опцию сохранения настроек программы и сохраните их под именем 01.prf. В главном меню выберите меню Файл и откройте опцию загрузки настроек программы и в появившемся диалоговом окне выберите файл с  именем 01.prf, выберите опцию Сохранить по умолчанию и перезапустите программу сканирования. Проверьте правильность загруженных настроек.

12.          Откройте окно FarManager (Пуск->Программы->FarManager->FarManager), перейдите на диск С: и перейдите в каталог ProgramFiles-> AntiViral Toolkit Pro и в этом каталоге найдите файлы: AVP-монитор avpm.exe, AVP для DOS avpdos32.exe, avptv32.exe, AVP-центр управления avpcc.exe. Запустите каждый из них и проверьте работу этих программ, объясните назначение каждой из программ и изучите их работу.

Контрольные вопросы:

1.     Как загружается антивирусная программа AntiViral Toolkit Pro?

2.     Какие типы файлов программа AntiViral Toolkit Pro относит к программам?

3.     Что такое анализатор кода и Unpacking Engine  как они работают?

Отчет должен содержать:

1.   Тему работы, цель работы.

2.   Описание хода выполнения работы и письменные ответы на задания хода работы.

Ответы на контрольные вопросы.