home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 1996 September
/
CHIP 1996 szeptember (CD07).zip
/
CHIP_CD07.ISO
/
sac
/
avir
/
avg40f02.exe
/
DODATKY.KAM
< prev
next >
Wrap
Text File
|
1996-01-04
|
10KB
|
251 lines
╒═══ ╒═══════
╒═════ ╒═══════
╒══ ╒══ ╒═══
╒══ ╒═ ╒══ ╒══ ╒════
╒══ ╒═══ ╒══ ╒═══ ╒══
╒══ ╒══ ╒═ ╒══════════
╒══ ╒═══ ╒═══════
Antivirovÿ systém AVG
verze 4.0
F R E E W A R E
≡
Doplñující informace
║ Tento soubor obsahuje informace, tÿkající se antivirového systému AVG
║ verze 4.0, které se z çasovÿch dûvodû nemohly objevit v ti¿têné
║ uæivatelské dokumentaci, nebo svÿm obsahem a rozsahem této dokumentaci.
║ neodpovídají
║ Vênujte prosím informacím z tohoto souboru pat⌐içnou pozornost.
Seznam
──────
AVGW - Automatické spou¿têní
AVGW - zasílání zpráv na síti
Nastavení heuristické analÿzy - emulace fronty instrukcí
Omezení programu AVGW proti AVG
Seznam hlá¿ení programû AVG a AVGW
╔══════════════════════════════╗
║ AVGW - Automatické spou¿têní ║
╚══════════════════════════════╝
Program AVGW v Menu testy obsahuje nabídku funkce, nazvanou AUTOMATICKÉ
SPOU¢TëNï. Tato funkce umoæñuje definovat automatické spou¿têní
zvolenÿch funkcí ve zvolené çasové periodê.
Po aktivaci funkce lze nastavit automatické spou¿têní pro kaædÿ typ
testu samostatnê :
≡ Antivirovÿ test
≡ Srovnávací test
≡ Heuristickou analÿzu
Poloæky, které pak nastavujete pro kaædÿ typ testu jsou :
≡ den v tÿdnu, kdy má bÿt test spu¿tên
≡ testované za⌐ízení/adresá⌐
≡ parametry nastavení
Pokud máte takto definováno automatické spou¿têní, kontroluje program
AVGW p⌐i kaædém startu, zda nenastal p⌐edepsanÿ okamæik pro automatickÿ
test. Pokud ano, spustí testy tak, jak je uæivatel p⌐edepsal.
■ AVGW - parametr /NOMEM
──────────────────────
Program AVGW umoæñuje zadat p⌐i svém spou¿têní také parametr /NOMEM.
Pouæití tohoto parametru potlaçuje automatickÿ test pamêti RAM po
spu¿têní programu AVGW (podobnê jako poloæka v Menu nastavení
- nastavení testû).
╔════════════════════════════════╗
║ AVGW - zasílání zpráv na síti ║
╚════════════════════════════════╝
V dokumentaci je uvedeno, æe programy AVG a AVGW umoæñují p⌐i nalezení
viru zaslat zprávu urçenému uæivateli a toto hlá¿ení zapsat do textového
souboru na síti. Program AVG tuto funkci také provádí.
V prost⌐edí WINDOWS (p⌐esnêji v reæimu chránêného módu - Protected mode)
není moæné volat síƒové sluæby Novell Netware. Program AVGW proto
neumoæñuje zasílání zpráv na síti - tato sluæba je omezena pouze na zápis
do textového souboru.
Tento problém bude moæné odstranit poté co firmy Microsoft a Novell
zajistí vzájemnou kompatibilitu svého software.
╔═══════════════════════════════════════════════════════════╗
║ Nastavení heuristické analÿzy - emulace fronty instrukcí ║
╚═══════════════════════════════════════════════════════════╝
Emulace fronty p⌐edvybranÿch instrukcí procesoru (CPU PRE-FETCH queue)
umoæní heuristickou detekci virû, které modifikují operaçní pamêƒ v místê,
ze kterého se naçítají instrukce. Procesory 286 a vy¿¿í pouæívají techniku
PRE-FETCH queue za úçelem zrychlení p⌐ístupu k naçítanÿm instrukcím.
Nemají v¿ak æádnou verifikaci, zda-li stav ve frontê instrukcí odpovídá
skuteçnému stavu pamêti. Vÿjimkou je aæ procesor Pentium, kterÿ verifikaci
má.
Uveâme p⌐íklad:
P⌐edpokládejme, æe na adrese operaçní pamêti, odkud se naçetly instrukce,
je çíslo 11. Následnê virus hodnotu p⌐epí¿e na 55. V této chvíli se
vÿsledky li¿í dle typu procesoru :
┌──────────────────────────────────────┬─────┐
│ Procesor - heuristika │stav │
├──────────────────────────────────────┼─────┤
│ Intel 8086 │ 11 │
│ Intel 80286 │ 55 │
│ Intel 80386 │ 11 │
│ Intel 80486 │ 11 │
│ Intel Pentium │ 55 │
├──────────────────────────────────────┼─────┤
│ Heuristika s emulací PRE-FETCH │ 11 │
│ Heuristika bez emulace PRE-FETCH │ 55 │
└──────────────────────────────────────┴─────┘
Z tabulky je vidêt, æe nap⌐. Pentium zjistí skuteçnou hodnotu, kdeæto 486
zpracuje hodnotu pûvodní. Prûbêh takového kódu je pak striktnê závislÿ na
typu pouæitého procesoru. Virus, kterÿ pouæívá modifikace PRE-FETCH
fronty, se bude chovat jinak na Pentiu a jinak na procesoru 486.
Prûchod první - PASS 1 ( emulace PRE-FETCH zapnuta )
Heuristika AVG standardnê emuluje PRE-FETCH frontu instrukcí. Pokud je
detekován rozdíl mezi PRE-FETCH queue a jejím obrazem v operaçní pamêti,
generuje heuristika p⌐íznak {P} - modifikace fronty instrukcí. Prûbêh
odpovídá nap⌐. procesoru 486.
Prûchod druhÿ - PASS 2 ( emulace PRE-FETCH vypnuta )
Pokud je zji¿tên p⌐íznak {P} a v reæimu PASS 1 nebyly nalezeny dostaçující
informace k detekci viru, spou¿tí se automaticky druhÿ prûchod heuristiky,
tentokrát bez emulace PRE-FETCH. Reæim PASS 2 odpovídá prûbêhu na
procesoru Pentium.
Kombinací PASS 1 a PASS 2 je umoænên test obou moænÿch variant prûchodu.
Nastavení "Emulovat frontu instrukcí" je definováno takto :
"Ne" - provádí se pouze PASS 1
"Ano" - provádí se PASS 1, pokud je {p} a není zji¿tên virus,
provádí se PASS 2.
Doporuçujeme ponechat nastavení heuristiky na "Ano" - 2 prûchody.
Toto nastavení je implicitní.
╔═════════════════════════════════╗
║ Omezení programu AVGW proti AVG ║
╚═════════════════════════════════╝
Program AVGW je kontrolní program urçenÿ pro prost⌐edí WINDOWS. Z tohoto
dûvodu má proti DOSové verzi AVG.EXE nêkterá omezení :
Anti-stealth techniky
─────────────────────
V prost⌐edí WINDOWS, zvlá¿tê pak v operaçním systému WINDOWS '95 není
moæné têchto technik pouæít, neboƒ WINDOWS obsluhují diskové sluæby
(INT13) vlastními funkcemi. Program AVGW.EXE proto anti-Stealth technik
nevyuæívá.
Rychlé spu¿têní programu
Spu¿têní AVG s p⌐íkazovÿm souborem
──────────────────────────────────
Tyto typy spu¿têní programu AVG vyuæívají spou¿têní programu s rûznÿmi
parametry - uæivatel tedy p⌐ímo na p⌐íkazové ⌐ádce urçuje poæadované
çinnosti. Prost⌐edí WINDOWS není orientované na p⌐íkazovÿ ⌐ádek a proto
tento typ spou¿têní není u programu AVGW implementován. S vÿhodou jej
lze nahradit pouæitím testovacích maker.
Léçení napadenÿch souborû
Léçení napadenÿch systémovÿch oblastí
─────────────────────────────────────
V p⌐ípadê, æe systém AVG detekuje virus a lze p⌐edpokládat, æe tento
virus je aktivní ve va¿em systém (napadené programy jsou bêænê
pouæívány, virus je v systémové oblasti pevného disku ...), lze p⌐ed
vlastním léçením doporuçit nataæení systému z çisté systémové diskety
- zajistíte tak nevirové prost⌐edí pro léçení a vyhnete se moænÿm
konfliktûm.
S ohledem na skuteçnost, æe z diskety lze natáhnout pouze operaçní
systém MS-DOS a pod ním spou¿têt pouze program AVG.EXE, bude pro léçení
virû vÿhodnêj¿í pouæívat tento program.
Obnova systémovÿch oblastí
──────────────────────────
V mnoha p⌐ípadech, kdy je nutné obnovit systémové oblasti ze záloæních
kopií, nelze normálním zpûsobem spustit poçítaç - je nutno natáhnout
operaçní systém z diskety. Protoæe takto lze natáhnout pouze systém
MS-DOS, bude pouæití systému AVG omezeno v têchto p⌐ípadech na program
AVG.EXE (z tohoto dûvodu také program AVGW.EXE neobsahuje funkci
KOMPLETNï REKONSTRUKCE).
╔═════════════════════════════════════╗
║ Seznam hlá¿ení programû AVG a AVGW ║
╚═════════════════════════════════════╝
Kontrolní programy AVG a AVGW vydávají bêhem Antivirového testu a
Heuristické analÿzy tato hlá¿ení o testovanÿch souborech :
■ OK
──
Soubor je v po⌐ádku
■ PODEZ₧ENï
─────────
Analÿza zjistila men¿í mnoæství p⌐íznakû nekorektních instrukcí ménê
podstatného vÿznamu. Soubor nebude pravdêpodobnê napaden virem, nemá
v¿ak z pohledu systému zcela standardní strukturu.
■ MªÆE B¥T NAPADEN
────────────────
Analÿza zjistila u souboru vêt¿í poçet p⌐íznakû. Soubor mûæe bÿt
napaden virem, mûæe se v¿ak také jednat o nestandardní software
- systémovou utilitu, diskovÿ ovladaç apod.
■ NAPADEN NEZNÅM¥M VIREM
──────────────────────
Analÿza zjistila u testovaného souboru takové mnoæství p⌐íznakû, æe se
domnívá, æe se jedná o virus. Æádnÿ ze známÿch virû v¿ak v souboru
nebyl nalezen. Tento soubor bude pravdêpodobnê heuristickou analÿzou
exportován do souboru _GRISOFT.VIR, kterÿ by mêl bÿt odeslán vÿrobci
systému AVG. S vysokou pravdêpodobností se jedná o skuteçnÿ virus.
■ NAPADEN ZNÅM¥M VIREM
────────────────────
V testovaném souboru byl zji¿tên známÿ virus.
■ IMUNIZACE <program>
───────────────────
Testovanÿ soubor je v po⌐ádku. Je internê chránên jinÿm obsluænÿm
programem (ve vÿpise mûæe bÿt uvedeno jeho jméno), kterÿ zaji¿ƒuje, aby
program nebylo moæné v p⌐ípadê napadení virem spustit.
■ OCHRANA <program/jméno autora>
─────────────────────────────
Testovanÿ soubor je v po⌐ádku - je kódován a chránên proti trasování
(postupné spou¿têní pomocí debuggeru).
■ KOMPRIMACE <program>
────────────────────
Testovanÿ soubor je v po⌐ádku - je internê komprimován a je k nêmu
internê p⌐ipojen jinÿ program, kterÿ zajistí jeho rozbalení a poté
spu¿têní. Tato technika, která bÿvá vyuæívána z dûvodû úspory místa,
p⌐ipomíná virus.
■■■ Konec souboru DODATKY.TXT ■■■