home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / 9406 / SCAN20.CD < prev    next >
Text File  |  1994-11-27  |  8KB  |  148 lines
  1.           @VMcAfee Scan V2.00@N
  2.  
  3.           @VValóban új-e a Scan kabátkája?@N
  4.  
  5.           A  napokban  bocsátotta  ki  a  McAfee  Associates Scan nevû
  6.           víruskeresôjének  2.00-ás  verzióját.  Több  szempontból  is
  7.           idôszerû   volt   ez   a   váltás,  hiszen  a  ""régi"  Scan
  8.           túlságosan   lassúnak,   és   keresési   metódusát  tekintve
  9.           elavultnak bizonyult a többi keresôk közt.
  10.  
  11.  
  12.  
  13.           Az  operációs  rendszerekhez igazodva fejlesztették ki az új
  14.           verziókat  is.  A DOS-os mellett megtalálható a windowsos és
  15.           az  OS/2  alá  készült  változat.  Az OS/2-es és a windowsos
  16.           változat  esetében  nincs különösebb megkötés a használattal
  17.           kapcsolatban,  csupán  az  operációs rendszerek verziószáma,
  18.           amely  az  OS/2  esetében  2.0,  a  Windowsnál pedig 3.1. Az
  19.           alábbiakban a DOS alá írt programot részletezzük.
  20.  
  21.           Egyetlen   .ZIP   file   tartalmazza  ugyanazt,  amit  eddig
  22.           kettôben  kaptunk, ugyanis egy programba építették a keresôt
  23.           és  az  irtót.  A  víruskereséshez  és  -irtáshoz  szükséges
  24.           adatokat   külön   file-okba   helyezték.   A   SCAN.DAT   a
  25.           detektálás,  a CLEAN.DAT az irtás adatait, míg a NAMES.DAT a
  26.           vírusok   neveit   tartalmazza.   Két   programfile   van  a
  27.           csomagban,  egyik  a SCAN.EXE -- ez a keresô és irtó program
  28.           --,    másik    a    VALIDATE.EXE,   amellyel   a   SCAN.EXE
  29.           sértetlenségét   vizsgálhatjuk,  ami  azt  jelenti,  hogy  a
  30.           program  írói,  mielôtt  .ZIP file-ba csomagolnák a már kész
  31.           terméket,  az  érvényesítô programmal két ellenôrzô összeget
  32.           képeznek,    amit    a    dokumentációban    eljuttatnak   a
  33.           felhasználóhoz,  aki egy újabb ellenôrzés útján meggyôzôdhet
  34.           a  víruskeresôje  sértetlenségérôl.  A .ZIP file tartalma az
  35.           elsô keretes cikkrészben látható.
  36.  
  37.           A  program  mûködéséhez  minimum  360  Kbyte  konvencionális
  38.           memória  és  3.0  vagy  nagyobb  verziószámú  DOS szükséges.
  39.           2600  vírus  detektálására képes, ebbe beleértendô az összes
  40.           mutáció   azonosítása   is.   ùjdonságként  beépítettek  egy
  41.           heurisztikus  keresôt  és  egy programkód visszafejtôt. Ezek
  42.           fôként  az  alakváltoztató  vírusok keresésénél és irtásánál
  43.           nélkülözhetetlen   segédeszközök,  mivel  ezek  statisztikai
  44.           analízis  alapján  azonosíthatók  (CHIP  '94/3/64).  A 80x86
  45.           emulátort Vadim Chernilovsky írta.
  46.  
  47.           A    programot    természetesen    használhatjuk    hálózati
  48.           környezetben  is,  mivel szabványos DOS funkciókon keresztül
  49.           kezeli  a  file-okat.  Ez  azt jelenti, hogy együttmûködik a
  50.           3Com  3/Share-rel  és 3/Opennel, az Artisoft Lantastickal, a
  51.           Banyan  Vinesszal,  a  Novell  Netware-rel,  a Microsoft LAN
  52.           Managerrel,  az  IBM  LAN  Serverrel  és minden IBMNET- vagy
  53.           NETBIOS-kompatibilis   hálózati   operációs  rendszerrel.  A
  54.           röptömörítôk   közül   a   Stackert,   a  SuperStort,  és  a
  55.           DoubleSpace-t támogatja.
  56.  
  57.  
  58.                                  @VMûködése@N
  59.  
  60.           Víruskeresés  és/vagy  -irtás  esetén  a  SCAN.EXE programot
  61.           kell  indítani  a  megfelelô  paraméterekkel. Indulás után a
  62.           program  automatikusan  ellenôrzi  önmagát.  Az  ezt  követô
  63.           folyamatok   már   mind   opcionálisan   állíthatók,  így  a
  64.           memóriabeli  víruskeresés  is.  Az opciókat a már megszokott
  65.           módon  adhatjuk  meg  a  bevezetô  ""/" jel segítségével. ùj
  66.           kapcsolók   kerültek   beépítésre,   közülük  csak  néhányat
  67.           említenék: CLEAN, FAST, BOOT, ADL vagy ADN.
  68.  
  69.           Ha  megadjuk  a CLEAN kapcsolót, akkor a Scan irtani fogja a
  70.           boot-,  a  masterboot-,  és a file-vírusokat. A file-vírusok
  71.           közül  természetesen  csak  azokat,  amelyek  helyreállítási
  72.           metódusát  beleépítették.  A FAST kapcsoló a vírusellenôrzés
  73.           idejét    csökkenti,    mégpedig    úgy,    hogy    kevesebb
  74.           vírusszekvenciát  használ  az  ellenôrzés  folyamán.  A BOOT
  75.           kapcsoló  bekapcsolása  esetén  csak  a  boot és master boot
  76.           program  kerül  ellenôrzésre.  Az ADL az összes lokális, míg
  77.           az  ADN az összes hálózati meghajtó ellenôrzésére utasítja a
  78.           programot.  A  keresés  és/vagy irtás befejeztével egy rövid
  79.           statisztikát,   és  a  keresés  alatt  eltelt  idôt  írja  a
  80.           képernyôre.
  81.  
  82.  
  83.                          @VGyakorlati tapasztalatok@N
  84.  
  85.           Az  elméleti tudnivalók után lássuk, miként vizsgázott az új
  86.           Scan  v2.00  a  gyakorlatban.  Elsô  tesztként  egy  korábbi
  87.           verziójával, a Scan 113-mal vetettük össze.
  88.  
  89.           Elsô   lépésben  205  darab  vírusos  file-t  másoltunk  egy
  90.           alkönyvtárba.  Ezek  közt  volt  vegyesen  .COM és .EXE file
  91.           illetve  boot  vírus  is.  A  boot vírusokat file-ba másolva
  92.           helyeztük  el.  Lefuttatva mindkét Scan programot, a második
  93.           keretes  cikkrészben  látható értékeket kaptuk eredményül. A
  94.           gyakorlat   tehát   azt   mutatta,   hogy   közel  sem  elég
  95.           biztonságos  a  Scan,  hiszen  nem  talált  meg  79  vírust,
  96.           illetve   a   fertôzöttnek   vélt  file-ok  30%-át  nem  jól
  97.           azonosította.   Irtáskor  az  általa  megtisztított  file-ok
  98.           20-35%-a  mûködésképtelenné  vált,  mivel  rosszul állította
  99.           helyre azokat.
  100.  
  101.           A  keresés  gyorsítását  a  ""FAST" kapcsolóval szándékozták
  102.           magvalósítani.  A  sebesség  valóban növekedett, de ezt csak
  103.           a   vírusismeret   csökkentésével  érték  el  --  ezek  után
  104.           feltehetô  az  a  kérdés,  hogy  ezzel  a  kapcsolóval  mi a
  105.           ""FAST"  akartak  elérni?  (Bocsánat.)  Ugyanis  a  sebesség
  106.           növekedésével   nem   lenne   szabad  csökkennie  a  védelem
  107.           hatásfokának.  Példa  erre  a  ThunderByte Antivirus program
  108.           6.10-es  verziója,  amit  összehasonlításképpen kipróbáltunk
  109.           ugyanazon   a   vírus-adatbázison.   A   végeredmény  nagyon
  110.           meggyôzô  volt: 10 másodperc alatt végzett, a vírusok 80%-át
  111.           név   szerint   azonosította,   a  többit  pedig  ismeretlen
  112.           vírusként jelezte.
  113.  
  114.  
  115.                                  @VÖsszegzés@N
  116.  
  117.           A  Scan  v2.00  valóban  gyorsabb, mint a korábbi verziók, s
  118.           egyben  több  vírust  is detektál, de az elvárásoknak messze
  119.           nem  felel  meg,  amit  a  teszt  is alátámaszt. Ebbôl azt a
  120.           következtetést   vonhatjuk  le,  hogy  a  program  @Könmagában@N
  121.           nem alkalmas a vírusok elleni védekezésre.
  122.  
  123.           A  McAfee  féle  Scan  volt az elsô olyan víruskeresô, amely
  124.           több  vírust  is  tudott  detektálni,  de mára a tanítványok
  125.           messze felülmúlták a mestert...
  126.  
  127.  
  128.           @KDarvas Årpád@N
  129.  
  130.  
  131.                       @VAz összehasonlítás eredménye...@N
  132.  
  133.             @VScan 113      Scan v2.00  Scan v2.00 /FAST kapcsolóval@N
  134.  
  135. Analizált   (nem analizál)  205 db      205 db
  136. Keresett    205 db          191 db      191 db
  137. Talált      115 db          126 db       52 db
  138. Irtott      (nem irt)        20 db       14 db
  139. Futási idô  312 s           161 s        30 s
  140.  
  141. Megjegyzés:  a  Scan v2.00 elôbb  analizálja a file-okat,  s
  142. ha úgy dönt, hogy érdemes bennük keresni, csak akkor  keres.
  143. A  Scan  113  csak  keres,   irtani  a  mellé  adott   Clean
  144. programmal  lehet  a  Scan  által  jelzett  vírusokat.    Az
  145. ""analizált"  tehát  az  analizált  file-ok  számát jelzi; a
  146. ""keresett"  azon  file-ok  száma,  amelyekben  nekilátott a
  147. keresésnek; a  ""talált" jelzi  a vírusosnak  talált file-ok
  148. számát; az ""irtott" pedig a megtisztítottakét.