"Шпионские штучки" и устройства для защиты объектов и информации
Шрифт:
Командная строка для запуска Dr. Web выглядит следующим образом:
Web [диск: [путь]] [ключи]
Диск:
X:— логическое устройство жесткого диска или физическое устройство гибкого диска, например, F: или А:;
*— все логические устройства на жестком диске;
?:— текущее устройство.
Путь:
путь или маска тестируемых файлов.
Ключи:
/А— диагностика всех файлов на заданном устройстве;
/В—
/D— удаление файлов, восстановление которых невозможно;
/F— лечение дисков и файлов, удаление найденных вирусов;
/Н— поиск вирусов в адресном пространстве oт 0 Кбат до 1088 Кбайт;
/L— вывод сообщений на другом языке;
/М— работа без поиска вирусов в памяти компьютера;
/N— тестирование только одного флоппи-диска без вопроса замены диска;
/О— вывод сообщения "ОК" для неинфицированных файлов;
/Р[N]— запись протокола работы в файл (по умолчанию в файл REPORT.WEB);
/R— загрузка знакогенератора русского алфавита;
/S[уровень] — эвристический анализ файлов и поиск в них неизвестных вирусов:
0 — минимальный уровень,
1 — оптимальный (устанавливается по умолчанию),
2 — "параноический";
/Т— отключение проверки целостности собственного программного кода;
/U|M|[WI[диск: ]— проверка файлов, упакованных LZEXE, DIET, PKLITE, а также вакцинированных антивирусом CPAV:
N— отключение вывода на экран информации о названии утилит, с помощью которых произведена упаковка файлов.
W— восстановление файла и удаление из него кода распаковщика.
Диск:— устройство, на котором будет производиться распаковка файлов.
/V— контроль за заражением тестируемых файлов активным резидентным вирусом;
/Z— пять первых цифр серийного номера платы Sheriff;
/? — вывод на экран краткой справки.
* * *
Если в командной строке Dr. Web не указано ни одного ключа, то вся информация для текущего запуска будет считываться из файла конфигурации WEB.INI, расположенного в том же каталоге, что и файл WEB.EXE. Формат файла конфигурации WEB.INI представлен в текстовом виде и полностью соответствует формату командной строки программы Dr. Web. В файле WEB.INI можно задавать как ключи, необходимые для текущего запуска, так и тестируемые диски или устройства. В комплект поставки входит стандартный файл WEB.INI, который необходимо откорректировать под пользовательские задачи.
Если вы переименовываете программу WEB.EXE (для маскировки запуска Dr. Web от резидентных вирусов, контролирующих работу WEB.EXE), то необходимо переименовать также файл WEB.INI (если он используется для работы) в имя, соответствующее программе Dr. Web, но расширение файла конфигурации должно остаться прежнее INI. Например: файл WEB.EXE переименован в файл ANTIVIR.EXE, тогда файл WEB.INI необходимо переименовать в ANTIVIR.INI.
Если файл конфигурации отсутствует и ключи в командной строке не указаны, то Dr. Web будет сканировать память компьютера в адресном пространстве or 0 до 640 Кбайт, а также файлы с расширениями *.COM, *.ЕХЕ, *.ВАТ, *.SYS, *.BIN, *.DRV. *.ВОО и *.OV? и выводить сообщения об их заражении известными вирусами.
Следует отметить, что последние версии антивирусной программы Dr.Web работают также и в диалоговом режиме. Настройки, задаваемые с помощью приведенных выше ключей,
Рис. П4.1. Диалоговое окно настройки Dr.Web
Комментарии
Режим /V
В процессе тестирования файла, в режиме /V(контроль за заражением тестируемых файлов резидентным вирусом active resident Virus), Dr. Web может выдать на экран сообщение типа:
Данное сообщение говорит о том, что перед открытием указанного файла на чтение его длина имела одно значение, а после открытия другое. Возможно, что в момент открытия этого файла средствами Dr.Web в памяти находился неизвестный резидентный вирус, который произвел заражение данного файла. В данном случае приращение длины будет положительным. Или возможен другой вариант, когда в памяти находится резидентный Stealth-вирус (вирус-невидимка), который пытается скрыть наличие своей копии в тестируемом файле. В этом случае приращение длины — отрицательное.
В обоих случаях рекомендуется прекратить работу, перегрузить компьютер с дискеты с "чистой" операционной системой и произвести детальный анализ подозрительных файлов (запуск Web /S с защищенного от записи дистрибутивного диска поставки).
Режим /F
Если в режиме / F(Files cure) при попытке лечения загрузочного вируса на диске Dr. Web выдаст сообщение:
то это означает, что оригинальный Master Boot Record или Boot Sector не обнаружены в секторе, в котором удаляемый вирус должен их "прятать". Это может произойти в том случае, если вирус является слегка модифицированной версией известного вируса и исходный Boot-сектор он хранит где-то в другом месте диска, либо при заражении компьютера несколькими Boot-вирусами, которые в результате "накладываются" друг на друга. В этом варианте Dr. Web вместо исходного MBR в "тайнике" первого вируса находит "голову" следующего и т. д.
А поскольку Web сразу не анализирует найденный им сектор MBR на наличие еще одного вируса, но он видит, что это не исходный MBR, то он и предупреждает вас об этом. Если вы разрешите лечение, то Dr.Web по очереди излечит компьютер от известных ему вирусов. Следует отметить, что при поражении диска несколькими Boot-вирусами иногда происходит потеря исходного Master Boot Record, если разные вирусы, заразившие компьютер, размещают MBR в одном и том же секторе диска. Как правило, в этом случае компьютер при загрузке системы с этого диска "зависает". Dr. Web при попытке лечения такого диска также может зациклиться, стремясь вылечить сначала один вирус, потом другой. В этом случае лучше отказаться от лечения и восстановить системные области диска средствами MS-DOS: SYS С: или FDISK /MBR, загрузив предварительно операционную систему с системной дискеты.