home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 1996 April
/
CHIP 1996 aprilis (CD06).zip
/
CHIP_CD06.ISO
/
hypertxt.arj
/
9406
/
SCAN20.CD
< prev
next >
Wrap
Text File
|
1994-11-27
|
8KB
|
148 lines
@VMcAfee Scan V2.00@N
@VValóban új-e a Scan kabátkája?@N
A napokban bocsátotta ki a McAfee Associates Scan nevû
víruskeresôjének 2.00-ás verzióját. Több szempontból is
idôszerû volt ez a váltás, hiszen a ""régi" Scan
túlságosan lassúnak, és keresési metódusát tekintve
elavultnak bizonyult a többi keresôk közt.
Az operációs rendszerekhez igazodva fejlesztették ki az új
verziókat is. A DOS-os mellett megtalálható a windowsos és
az OS/2 alá készült változat. Az OS/2-es és a windowsos
változat esetében nincs különösebb megkötés a használattal
kapcsolatban, csupán az operációs rendszerek verziószáma,
amely az OS/2 esetében 2.0, a Windowsnál pedig 3.1. Az
alábbiakban a DOS alá írt programot részletezzük.
Egyetlen .ZIP file tartalmazza ugyanazt, amit eddig
kettôben kaptunk, ugyanis egy programba építették a keresôt
és az irtót. A víruskereséshez és -irtáshoz szükséges
adatokat külön file-okba helyezték. A SCAN.DAT a
detektálás, a CLEAN.DAT az irtás adatait, míg a NAMES.DAT a
vírusok neveit tartalmazza. Két programfile van a
csomagban, egyik a SCAN.EXE -- ez a keresô és irtó program
--, másik a VALIDATE.EXE, amellyel a SCAN.EXE
sértetlenségét vizsgálhatjuk, ami azt jelenti, hogy a
program írói, mielôtt .ZIP file-ba csomagolnák a már kész
terméket, az érvényesítô programmal két ellenôrzô összeget
képeznek, amit a dokumentációban eljuttatnak a
felhasználóhoz, aki egy újabb ellenôrzés útján meggyôzôdhet
a víruskeresôje sértetlenségérôl. A .ZIP file tartalma az
elsô keretes cikkrészben látható.
A program mûködéséhez minimum 360 Kbyte konvencionális
memória és 3.0 vagy nagyobb verziószámú DOS szükséges.
2600 vírus detektálására képes, ebbe beleértendô az összes
mutáció azonosítása is. ùjdonságként beépítettek egy
heurisztikus keresôt és egy programkód visszafejtôt. Ezek
fôként az alakváltoztató vírusok keresésénél és irtásánál
nélkülözhetetlen segédeszközök, mivel ezek statisztikai
analízis alapján azonosíthatók (CHIP '94/3/64). A 80x86
emulátort Vadim Chernilovsky írta.
A programot természetesen használhatjuk hálózati
környezetben is, mivel szabványos DOS funkciókon keresztül
kezeli a file-okat. Ez azt jelenti, hogy együttmûködik a
3Com 3/Share-rel és 3/Opennel, az Artisoft Lantastickal, a
Banyan Vinesszal, a Novell Netware-rel, a Microsoft LAN
Managerrel, az IBM LAN Serverrel és minden IBMNET- vagy
NETBIOS-kompatibilis hálózati operációs rendszerrel. A
röptömörítôk közül a Stackert, a SuperStort, és a
DoubleSpace-t támogatja.
@VMûködése@N
Víruskeresés és/vagy -irtás esetén a SCAN.EXE programot
kell indítani a megfelelô paraméterekkel. Indulás után a
program automatikusan ellenôrzi önmagát. Az ezt követô
folyamatok már mind opcionálisan állíthatók, így a
memóriabeli víruskeresés is. Az opciókat a már megszokott
módon adhatjuk meg a bevezetô ""/" jel segítségével. ùj
kapcsolók kerültek beépítésre, közülük csak néhányat
említenék: CLEAN, FAST, BOOT, ADL vagy ADN.
Ha megadjuk a CLEAN kapcsolót, akkor a Scan irtani fogja a
boot-, a masterboot-, és a file-vírusokat. A file-vírusok
közül természetesen csak azokat, amelyek helyreállítási
metódusát beleépítették. A FAST kapcsoló a vírusellenôrzés
idejét csökkenti, mégpedig úgy, hogy kevesebb
vírusszekvenciát használ az ellenôrzés folyamán. A BOOT
kapcsoló bekapcsolása esetén csak a boot és master boot
program kerül ellenôrzésre. Az ADL az összes lokális, míg
az ADN az összes hálózati meghajtó ellenôrzésére utasítja a
programot. A keresés és/vagy irtás befejeztével egy rövid
statisztikát, és a keresés alatt eltelt idôt írja a
képernyôre.
@VGyakorlati tapasztalatok@N
Az elméleti tudnivalók után lássuk, miként vizsgázott az új
Scan v2.00 a gyakorlatban. Elsô tesztként egy korábbi
verziójával, a Scan 113-mal vetettük össze.
Elsô lépésben 205 darab vírusos file-t másoltunk egy
alkönyvtárba. Ezek közt volt vegyesen .COM és .EXE file
illetve boot vírus is. A boot vírusokat file-ba másolva
helyeztük el. Lefuttatva mindkét Scan programot, a második
keretes cikkrészben látható értékeket kaptuk eredményül. A
gyakorlat tehát azt mutatta, hogy közel sem elég
biztonságos a Scan, hiszen nem talált meg 79 vírust,
illetve a fertôzöttnek vélt file-ok 30%-át nem jól
azonosította. Irtáskor az általa megtisztított file-ok
20-35%-a mûködésképtelenné vált, mivel rosszul állította
helyre azokat.
A keresés gyorsítását a ""FAST" kapcsolóval szándékozták
magvalósítani. A sebesség valóban növekedett, de ezt csak
a vírusismeret csökkentésével érték el -- ezek után
feltehetô az a kérdés, hogy ezzel a kapcsolóval mi a
""FAST" akartak elérni? (Bocsánat.) Ugyanis a sebesség
növekedésével nem lenne szabad csökkennie a védelem
hatásfokának. Példa erre a ThunderByte Antivirus program
6.10-es verziója, amit összehasonlításképpen kipróbáltunk
ugyanazon a vírus-adatbázison. A végeredmény nagyon
meggyôzô volt: 10 másodperc alatt végzett, a vírusok 80%-át
név szerint azonosította, a többit pedig ismeretlen
vírusként jelezte.
@VÖsszegzés@N
A Scan v2.00 valóban gyorsabb, mint a korábbi verziók, s
egyben több vírust is detektál, de az elvárásoknak messze
nem felel meg, amit a teszt is alátámaszt. Ebbôl azt a
következtetést vonhatjuk le, hogy a program @Könmagában@N
nem alkalmas a vírusok elleni védekezésre.
A McAfee féle Scan volt az elsô olyan víruskeresô, amely
több vírust is tudott detektálni, de mára a tanítványok
messze felülmúlták a mestert...
@KDarvas Årpád@N
@VAz összehasonlítás eredménye...@N
@VScan 113 Scan v2.00 Scan v2.00 /FAST kapcsolóval@N
Analizált (nem analizál) 205 db 205 db
Keresett 205 db 191 db 191 db
Talált 115 db 126 db 52 db
Irtott (nem irt) 20 db 14 db
Futási idô 312 s 161 s 30 s
Megjegyzés: a Scan v2.00 elôbb analizálja a file-okat, s
ha úgy dönt, hogy érdemes bennük keresni, csak akkor keres.
A Scan 113 csak keres, irtani a mellé adott Clean
programmal lehet a Scan által jelzett vírusokat. Az
""analizált" tehát az analizált file-ok számát jelzi; a
""keresett" azon file-ok száma, amelyekben nekilátott a
keresésnek; a ""talált" jelzi a vírusosnak talált file-ok
számát; az ""irtott" pedig a megtisztítottakét.