home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 September / CHIP 1996 szeptember (CD07).zip / CHIP_CD07.ISO / sac / avir / avg40f02.exe / DODATKY.KAM < prev    next >
Text File  |  1996-01-04  |  10KB  |  251 lines
  1.  
  2.                          ╒═══           ╒═══════
  3.                         ╒═════        ╒═══════
  4.                        ╒══  ╒══      ╒═══
  5.                       ╒══ ╒═ ╒══     ╒══     ╒════
  6.                      ╒══ ╒═══ ╒══   ╒═══       ╒══
  7.                     ╒══        ╒══ ╒═ ╒══════════
  8.                    ╒══          ╒═══    ╒═══════
  9.  
  10.  
  11.                         Antivirovÿ systém AVG
  12.                              verze 4.0
  13.                           F R E E W A R E
  14.                                  ≡
  15.  
  16.                          Doplñující informace
  17.  
  18.  
  19. ║ Tento soubor obsahuje informace,  tÿkající se  antivirového systému  AVG
  20. ║ verze 4.0,  které  se  z  çasovÿch  dûvodû  nemohly  objevit  v  ti¿têné
  21. ║ uæivatelské  dokumentaci, nebo svÿm obsahem a rozsahem této dokumentaci.
  22. ║ neodpovídají
  23. ║ Vênujte prosím informacím z tohoto souboru pat⌐içnou pozornost.
  24.  
  25.  
  26.  
  27.         Seznam
  28.         ──────
  29.         AVGW - Automatické spou¿têní
  30.         AVGW - zasílání zpráv na síti
  31.         Nastavení heuristické analÿzy - emulace fronty instrukcí
  32.         Omezení programu AVGW proti AVG
  33.         Seznam hlá¿ení programû AVG a AVGW
  34.  
  35.  
  36. ╔══════════════════════════════╗
  37. ║ AVGW - Automatické spou¿têní ║
  38. ╚══════════════════════════════╝
  39.  
  40.   Program AVGW v Menu testy obsahuje nabídku funkce, nazvanou  AUTOMATICKÉ
  41.   SPOU¢TëNï.  Tato   funkce  umoæñuje   definovat  automatické   spou¿têní
  42.   zvolenÿch funkcí ve zvolené çasové periodê.
  43.  
  44.   Po aktivaci funkce lze nastavit  automatické  spou¿têní  pro  kaædÿ  typ
  45.   testu samostatnê :
  46.  
  47.   ≡ Antivirovÿ test
  48.   ≡ Srovnávací test
  49.   ≡ Heuristickou analÿzu
  50.  
  51.   Poloæky, které pak nastavujete pro kaædÿ typ testu jsou :
  52.  
  53.   ≡ den v tÿdnu, kdy má bÿt test spu¿tên
  54.   ≡ testované za⌐ízení/adresá⌐
  55.   ≡ parametry nastavení
  56.  
  57.   Pokud máte takto  definováno automatické  spou¿têní, kontroluje  program
  58.   AVGW p⌐i kaædém startu, zda nenastal p⌐edepsanÿ okamæik pro  automatickÿ
  59.   test. Pokud ano, spustí testy tak, jak je uæivatel p⌐edepsal.
  60.  
  61. ■ AVGW - parametr /NOMEM
  62.   ──────────────────────
  63.   Program AVGW umoæñuje  zadat p⌐i  svém spou¿têní  také parametr  /NOMEM.
  64.   Pouæití tohoto  parametru  potlaçuje  automatickÿ  test  pamêti  RAM  po
  65.   spu¿têní  programu  AVGW  (podobnê   jako  poloæka   v  Menu   nastavení
  66.   - nastavení testû).
  67.  
  68.  
  69. ╔════════════════════════════════╗
  70. ║ AVGW - zasílání zpráv na síti  ║
  71. ╚════════════════════════════════╝
  72.  
  73. V dokumentaci je uvedeno, æe  programy AVG  a AVGW  umoæñují p⌐i  nalezení
  74. viru zaslat zprávu urçenému uæivateli  a toto hlá¿ení zapsat do  textového
  75. souboru na síti. Program AVG tuto funkci také provádí.
  76.  
  77. V prost⌐edí WINDOWS (p⌐esnêji v  reæimu chránêného módu - Protected  mode)
  78. není  moæné  volat  síƒové  sluæby  Novell  Netware.  Program  AVGW  proto
  79. neumoæñuje zasílání zpráv na síti - tato sluæba je omezena pouze na  zápis
  80. do textového souboru.
  81.  
  82. Tento problém bude moæné  odstranit  poté  co  firmy  Microsoft  a  Novell
  83. zajistí vzájemnou kompatibilitu svého software.
  84.  
  85.  
  86. ╔═══════════════════════════════════════════════════════════╗
  87. ║ Nastavení heuristické analÿzy - emulace fronty instrukcí  ║
  88. ╚═══════════════════════════════════════════════════════════╝
  89.  
  90. Emulace fronty p⌐edvybranÿch instrukcí  procesoru  (CPU  PRE-FETCH  queue)
  91. umoæní heuristickou detekci virû, které modifikují operaçní pamꃠv místê,
  92. ze kterého se naçítají instrukce. Procesory 286 a vy¿¿í pouæívají techniku
  93. PRE-FETCH queue za  úçelem  zrychlení  p⌐ístupu  k  naçítanÿm  instrukcím.
  94. Nemají v¿ak æádnou  verifikaci, zda-li stav  ve frontê instrukcí  odpovídá
  95. skuteçnému stavu pamêti. Vÿjimkou je aæ procesor Pentium, kterÿ verifikaci
  96. má.
  97.  
  98. Uveâme p⌐íklad:
  99.  
  100. P⌐edpokládejme, æe na adrese operaçní pamêti, odkud se naçetly  instrukce,
  101. je çíslo 11. Následnê virus hodnotu  p⌐epí¿e  na  55.  V  této  chvíli  se
  102. vÿsledky li¿í dle typu procesoru :
  103.  
  104.    ┌──────────────────────────────────────┬─────┐
  105.    │ Procesor - heuristika                │stav │
  106.    ├──────────────────────────────────────┼─────┤
  107.    │ Intel 8086                           │  11 │
  108.    │ Intel 80286                          │  55 │
  109.    │ Intel 80386                          │  11 │
  110.    │ Intel 80486                          │  11 │
  111.    │ Intel Pentium                        │  55 │
  112.    ├──────────────────────────────────────┼─────┤
  113.    │ Heuristika s emulací PRE-FETCH       │  11 │
  114.    │ Heuristika bez emulace PRE-FETCH     │  55 │
  115.    └──────────────────────────────────────┴─────┘
  116.  
  117. Z tabulky je vidêt, æe nap⌐. Pentium zjistí skuteçnou hodnotu, kdeæto  486
  118. zpracuje hodnotu pûvodní. Prûbêh takového kódu je pak striktnê závislÿ  na
  119. typu  pouæitého  procesoru.  Virus,  kterÿ  pouæívá  modifikace  PRE-FETCH
  120. fronty, se bude chovat jinak na Pentiu a jinak na procesoru 486.
  121.  
  122. Prûchod první - PASS 1 ( emulace PRE-FETCH zapnuta )
  123.  
  124. Heuristika AVG  standardnê emuluje  PRE-FETCH frontu  instrukcí. Pokud  je
  125. detekován rozdíl mezi PRE-FETCH queue  a jejím obrazem v operaçní  pamêti,
  126. generuje heuristika p⌐íznak {P}  -  modifikace  fronty  instrukcí.  Prûbêh
  127. odpovídá nap⌐. procesoru 486.
  128.  
  129. Prûchod druhÿ - PASS 2 ( emulace PRE-FETCH vypnuta )
  130.  
  131. Pokud je zji¿tên p⌐íznak {P} a v reæimu PASS 1 nebyly nalezeny dostaçující
  132. informace k detekci viru, spou¿tí se automaticky druhÿ prûchod heuristiky,
  133. tentokrát  bez  emulace  PRE-FETCH.  Reæim  PASS  2  odpovídá  prûbêhu  na
  134. procesoru Pentium.
  135.  
  136. Kombinací PASS 1 a PASS 2 je umoænên test obou moænÿch variant prûchodu.
  137. Nastavení "Emulovat frontu instrukcí" je definováno takto :
  138.  
  139.  "Ne"   - provádí se pouze PASS 1
  140.  "Ano"  - provádí se PASS 1, pokud je {p} a není zji¿tên virus,
  141.           provádí se PASS 2.
  142.  
  143. Doporuçujeme ponechat nastavení heuristiky na "Ano" - 2 prûchody. 
  144. Toto nastavení je implicitní.
  145.  
  146.  
  147. ╔═════════════════════════════════╗
  148. ║ Omezení programu AVGW proti AVG ║
  149. ╚═════════════════════════════════╝
  150.  
  151. Program AVGW je kontrolní program  urçenÿ pro prost⌐edí WINDOWS. Z  tohoto
  152. dûvodu má proti DOSové verzi AVG.EXE nêkterá omezení :
  153.  
  154.   Anti-stealth techniky
  155.   ─────────────────────
  156.   V prost⌐edí WINDOWS, zvlá¿tê  pak v operaçním  systému WINDOWS '95  není
  157.   moæné têchto technik pouæít,  neboƒ  WINDOWS  obsluhují  diskové  sluæby
  158.   (INT13) vlastními funkcemi. Program AVGW.EXE proto anti-Stealth  technik
  159.   nevyuæívá.
  160.  
  161.  
  162.   Rychlé spu¿têní programu
  163.   Spu¿têní AVG s p⌐íkazovÿm souborem
  164.   ──────────────────────────────────
  165.   Tyto typy spu¿têní programu AVG  vyuæívají spou¿têní programu s  rûznÿmi
  166.   parametry - uæivatel  tedy p⌐ímo  na p⌐íkazové  ⌐ádce urçuje  poæadované
  167.   çinnosti. Prost⌐edí WINDOWS není orientované na p⌐íkazovÿ ⌐ádek a  proto
  168.   tento typ spou¿têní není  u programu AVGW  implementován. S vÿhodou  jej
  169.   lze nahradit pouæitím testovacích maker.
  170.  
  171.  
  172.   Léçení napadenÿch souborû
  173.   Léçení napadenÿch systémovÿch oblastí
  174.   ─────────────────────────────────────
  175.   V p⌐ípadê, æe systém AVG  detekuje virus  a lze  p⌐edpokládat, æe  tento
  176.   virus  je  aktivní  ve  va¿em  systém  (napadené  programy  jsou   bêænê
  177.   pouæívány, virus je v  systémové oblasti  pevného disku  ...), lze  p⌐ed
  178.   vlastním léçením doporuçit nataæení  systému z  çisté systémové  diskety
  179.   - zajistíte tak nevirové  prost⌐edí  pro  léçení  a  vyhnete  se  moænÿm
  180.   konfliktûm.
  181.  
  182.   S ohledem na skuteçnost, æe  z  diskety  lze  natáhnout  pouze  operaçní
  183.   systém MS-DOS a pod ním spou¿têt pouze program AVG.EXE, bude pro  léçení
  184.   virû vÿhodnêj¿í pouæívat tento program.
  185.  
  186.  
  187.   Obnova systémovÿch oblastí
  188.   ──────────────────────────
  189.   V mnoha p⌐ípadech, kdy je  nutné obnovit systémové oblasti ze  záloæních
  190.   kopií, nelze normálním  zpûsobem spustit  poçítaç -  je nutno  natáhnout
  191.   operaçní systém z diskety. Protoæe  takto  lze  natáhnout  pouze  systém
  192.   MS-DOS, bude pouæití systému AVG  omezeno v têchto p⌐ípadech na  program
  193.   AVG.EXE  (z  tohoto  dûvodu  také  program  AVGW.EXE  neobsahuje  funkci
  194.   KOMPLETNï REKONSTRUKCE).
  195.  
  196. ╔═════════════════════════════════════╗
  197. ║ Seznam hlá¿ení programû AVG a AVGW  ║
  198. ╚═════════════════════════════════════╝
  199.  
  200.  Kontrolní programy  AVG  a  AVGW  vydávají  bêhem  Antivirového  testu  a
  201.  Heuristické analÿzy tato hlá¿ení o testovanÿch souborech :
  202.  
  203.  ■ OK
  204.    ──
  205.    Soubor je v po⌐ádku
  206.  
  207.  ■ PODEZ₧ENï
  208.    ─────────
  209.    Analÿza zjistila men¿í  mnoæství p⌐íznakû  nekorektních instrukcí  ménê
  210.    podstatného  vÿznamu. Soubor nebude  pravdêpodobnê napaden virem,  nemá
  211.    v¿ak z pohledu systému zcela standardní strukturu.
  212.  
  213.  ■ MªÆE B¥T NAPADEN
  214.    ────────────────
  215.    Analÿza zjistila u  souboru  vêt¿í  poçet  p⌐íznakû.  Soubor  mûæe  bÿt
  216.    napaden virem,  mûæe  se  v¿ak  také  jednat  o  nestandardní  software
  217.    - systémovou utilitu, diskovÿ ovladaç apod.
  218.  
  219.  ■ NAPADEN NEZNÅM¥M VIREM
  220.    ──────────────────────
  221.    Analÿza zjistila u testovaného souboru takové mnoæství p⌐íznakû, æe  se
  222.    domnívá, æe se jedná  o virus.  Æádnÿ ze  známÿch virû  v¿ak v  souboru
  223.    nebyl nalezen. Tento  soubor bude  pravdêpodobnê heuristickou  analÿzou
  224.    exportován do souboru  _GRISOFT.VIR, kterÿ by  mêl bÿt odeslán  vÿrobci
  225.    systému AVG. S vysokou pravdêpodobností se jedná o skuteçnÿ virus.
  226.  
  227.  
  228.  ■ NAPADEN ZNÅM¥M VIREM
  229.    ────────────────────
  230.    V testovaném souboru byl zji¿tên známÿ virus.
  231.  
  232.  ■ IMUNIZACE <program>
  233.    ───────────────────
  234.    Testovanÿ soubor je v  po⌐ádku.  Je  internê  chránên  jinÿm  obsluænÿm
  235.    programem (ve vÿpise mûæe bÿt uvedeno jeho jméno), kterÿ zaji¿ƒuje, aby
  236.    program nebylo moæné v p⌐ípadê napadení virem spustit.
  237.  
  238.  ■ OCHRANA <program/jméno autora>
  239.    ─────────────────────────────
  240.    Testovanÿ soubor je v po⌐ádku  - je kódován  a chránên proti  trasování
  241.    (postupné spou¿têní pomocí debuggeru).
  242.  
  243.  ■ KOMPRIMACE <program>
  244.    ────────────────────
  245.    Testovanÿ soubor je v  po⌐ádku -  je internê  komprimován a  je k  nêmu
  246.    internê p⌐ipojen jinÿ program, kterÿ  zajistí  jeho  rozbalení  a  poté
  247.    spu¿têní. Tato technika,  která bÿvá vyuæívána  z dûvodû úspory  místa,
  248.    p⌐ipomíná virus.
  249.  
  250.  
  251. ■■■ Konec souboru DODATKY.TXT ■■■