home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / 9409 / VCARE.CD < prev    next >
Text File  |  1994-11-22  |  11KB  |  193 lines
  1.           @VV-Care vírusvédelmi rendszer@N
  2.  
  3.           @VVírusvédelem -- csomagban@N
  4.  
  5.           A  vírusvédelem  összehangolása egy hálózatban igen nehézkes
  6.           feladat.  A  programok  és  az  emberek különbözôsége nagyon
  7.           megnehezíti    a   munkát.   A   most   bemutatásra   kerülô
  8.           programcsomag  megoldja a probléma szoftveres részét, míg az
  9.           emberi tényezô egyedi bánásmódot igényel.
  10.  
  11.  
  12.  
  13.           A  V-Care egy komplett vírusvédelmi programcsomag, amit arra
  14.           szántak,  hogy  a  lehetô  legtöbb  eszközzel  elôzze  meg a
  15.           vírusok   behatolását   egy   ""zárt   rendszerbe",  illetve
  16.           pusztítását  azon belül. Bárhol használható, mivel egyedi és
  17.           hálózatba  kötött  számítógépre  is  telepíthetô.  Ez elônyt
  18.           jelent    egy   nagyvállalat   esetében,   ahol   használnak
  19.           hálózatot,  de  van  néhány  gép,  ami  csak  úgy mindenféle
  20.           köldökzsinór  nélkül  hever az asztalon. Mivel minden gépre,
  21.           illetve   a   hálózati  serverre  is  ugyanazt  a  programot
  22.           telepítik,  így a kompatibilitás is biztosított -- a védelem
  23.           egyenletes, bár nem tökéletes.
  24.  
  25.           A  telepítôprogram  automatikusan  elvégez  mindent, mind az
  26.           egyedi,  mind  a  hálózatos  telepítés  esetén.  A  DISKPART
  27.           programmal  archiválja a boot és masterboot rekordot, a CMOS
  28.           memória  tartalmát,  illetve  a  rendszerfile-okat,  majd  a
  29.           COMMAND.COM-ot.  Az  EXPERT programmal pedig ellenôrzi, hogy
  30.           van-e  a  memóriában  programfile-okat  fertôzô  vírus, majd
  31.           telepíti a rendszert.
  32.  
  33.           A   hálózati   telepítést   természetesen  csak  supervisori
  34.           jogosultságú  felhasználó  végezheti.  Miután befejezôdött a
  35.           serverre    való    telepítés,    installálnunk    kell    a
  36.           munkaállomások merevlemezeire is.
  37.  
  38.  
  39.                 @VA telepítés után...@N
  40.  
  41.           ...újraindítjuk  a  gépet.  A  VIRTEST  program  ellenôrzi a
  42.           memória    vírusmentességét,    majd    a    VSCAN   program
  43.           víruskeresést  végez  a  gyökérkönyvtárban, végül a VGUARD a
  44.           gyökérkönyvtárban  lévô  file-ok  integritását ellenôrzi. Ha
  45.           másképp   nem   rendelkeztünk,   akkor   a  VSECURE  program
  46.           rezidenssé  válik,  s  minden  programindításkor ellenôrzi a
  47.           futtatni  kívánt  programot, hogy vírusos-e. Mivel a VSECURE
  48.           program  kevés  lenne  önmagában  a  védelemhez, így érdemes
  49.           használni  a  VMONITOR-t  is,  amely  jelzi,  ha  valamelyik
  50.           program  a  boot  szektorba  vagy  netán  egy programfile-ba
  51.           próbál  írni.  Amennyiben ilyen mûveletet észlel, azt meg is
  52.           tudja akadályozni.
  53.  
  54.           A  hálózati  telepítés  esetén  újra  be  kell jelentkezni a
  55.           hálózatba  ahhoz,  hogy  mûködésbe  lépjen a V-Care hálózati
  56.           része.  Bejelentkezés  után  ellenôrzi  a  memóriát,  majd a
  57.           munkaállomás   merevlemezének   gyökérkönyvtárát.  Ha  nincs
  58.           beállítva  más  opció,  néhány másodperc alatt elvégzi e két
  59.           mûveletet,  de  ha  vírust,  vagy  vírusra  utaló jelenséget
  60.           észlel,   kijelzi  a  képernyôn,  illetve  üzenetet  küld  a
  61.           serverre  vagy  a  kijelölt  munkaállomásra,  és  bejegyzi a
  62.           központi   naplóba.   A   központi  naplót  a  rendszergazda
  63.           felügyeli,   ez   alapján  lehet  nyomon  követni  késôbb  a
  64.           vírusjelenségeket.  Abban  az  esetben,  ha munka közben egy
  65.           floppyt  ellenôrzünk  a  VSCAN víruskeresô programmal, és az
  66.           például  bootvírust  talál,  akkor  egy  ablakban  kiírja  a
  67.           képernyôre  a fertôzött szektort szöveges formátumban, ezzel
  68.           is   segítve   az  azonosítást.  A  mûvelettel  párhuzamosan
  69.           bejegyzést  tesz a központi naplóba, illetve üzenetet küld a
  70.           kijelölt munkaállomásra, ahol a rendszergazda tartózkodik.
  71.  
  72.           Megfigyelhetô,  hogy  bekapcsoláskor  és  a  hálózatba  való
  73.           bejelentkezéskor  a  vírusellenôrzés  és integritásvizsgálat
  74.           csak  a  merevlemez  gyökérkönyvtárában  hajtódik végre. Ezt
  75.           azért  oldották meg így, mert a teljes merevlemez vizsgálata
  76.           minden  rendszertöltéskor,  illetve hálózatba jelentkezéskor
  77.           nagyon  lelassítaná  a  munkát.  Kérdés azonban a merevlemez
  78.           gyökérkönyvtárán  kívül  esô file-ok ellenôrzésének módja és
  79.           ideje.  Ezt a problémát a DAILY nevû programmal hidalták át,
  80.           amely  az elôre meghatározott napon és idôpontban lefuttatja
  81.           a  paraméterként  megadott  víruskeresôt,  jelen  esetben  a
  82.           VSCAN-t.
  83.  
  84.  
  85.                 @Vùjdonságok@N
  86.  
  87.           A  VSCAN  program már azzal az új keresési módszerrel is fel
  88.           van  vértezve,  ami  nélkül  manapság  egy  víruskeresô  nem
  89.           igazán  víruskeresô.  Ugyanis  feliratkozott  a heurisztikus
  90.           keresôk  listájára,  az  F-Prot  és  a  TBAV mellé. Bár ez a
  91.           heurisztikus  keresô még eléggé gyerekcipôben jár, de így is
  92.           jó  hatásfokú,  és  nem  okoz  feleslegesen  vakriasztást. A
  93.           heurisztikus  keresôk  általános  betegsége -- ami a TBAV és
  94.           az  F-PROT  hatásfokát  és  biztonságosságát is csökkenti --
  95.           ennél  a  keresônél  is  megfigyelhetô. Néhány vírus annyira
  96.           eltitkosítja  magát,  hogy  a  heurisztikus algoritmusok nem
  97.           találják meg a vírusokra jellemzô kódsorozatokat.
  98.  
  99.           Egy  másik  merôben  új dolog a CODE CORRELATOR. Ez a VGUARD
  100.           program   által   létrehozott  adatbázissal  használatos.  A
  101.           programok  vírusmentesítésére  használható. Pontosabban csak
  102.           azoktól     a     vírusoktól    tudja    megszabadítani    a
  103.           programfile-okat,   amelyek   a  visszaállításhoz  szükséges
  104.           információt  nem  titkosítják  el.  Ilyen  például  a  Whale
  105.           vírus.
  106.  
  107.           Az  EXPERT  program a memóriában lévô, programfile-t fertôzô
  108.           vírusokat   próbálja   elkapni,  majd  analizálni.  Ezt  úgy
  109.           csinálja,  hogy  létrehoz egy .COM majd .EXE file-t, amelyet
  110.           megnyit  írásra,  beleír,  majd  lezárja.  Ha  vírus  van  a
  111.           memóriában,  akkor  az  vagy  a megnyitáskor, vagy a file-ba
  112.           íráskor  hozzámásolja  magát  a  file-hoz.  Ezt  a mûveletet
  113.           négyszer   megismétli   mind  a  .COM,  mind  az  .EXE  file
  114.           esetében.  Az  elemzés  során  megkeresi a vírusos file-ban,
  115.           pontosabban   a   file-hoz   kapcsolódott   vírusban  azt  a
  116.           pozíciót,  ahol az eredeti file elejére vonatkozó információ
  117.           van,  mivel  ez szükséges a helyreállításhoz. A .COM file-ok
  118.           esetében  ez  általában  maximum 50 byte a program elejébôl,
  119.           míg   .EXE   file-oknál  az  EXE  fejléc  elsô  32  byte-ja.
  120.           Amennyiben  mind  a  négy  .COM  vagy  .EXE  file-ban azonos
  121.           helyen  van  a  keresett  információ,  akkor  kész az irtási
  122.           metódus az adott vírusra.
  123.  
  124.           A  VMONITOR program egy memóriarezidens írásfigyelô program.
  125.           A  beállított funkciókat figyeli, és ha írni akar valamelyik
  126.           program,  például egy programfile-ba, vagy a boot szektorba,
  127.           akkor figyelmezteti a felhasználót, s abortálja az írást.
  128.  
  129.  
  130.              @VGyakorlati tapasztalatok@N
  131.  
  132.           Az  üzenetküldés  és  naplózás  nagymértékben  felgyorsítja,
  133.           illetve  egyszerûvé teszi a hálózatot használóknál a vírusok
  134.           detektálását,      azonosítását      és      irtását.     Az
  135.           integritásvédelem,  a többrétû memóriateszt és ellenôrzés, a
  136.           rezidens  vírusfigyelô  és  a  víruskeresô  program egymásra
  137.           épülô  rendszert  alkotva  védi  az  adatokat, programokat a
  138.           vírusoktól.
  139.  
  140.           Használat  közben  a  VSECURE  és  a  VMONITOR  program  nem
  141.           okozott  különösebb  sebességcsökkenést. A bekapcsolás utáni
  142.           vírusellenôrzés  is  kellôképpen  gyors -- nem kell perceket
  143.           várni      minden     bekapcsoláskor     a     vírus-     és
  144.           integritásellenôrzésre.
  145.  
  146.           A  VSCAN  és  a  VSECURE vírusismerete sajnos nagyon gyatra.
  147.           Ennek  bizonyítására összehasonlító táblázatot készítettünk.
  148.           A  VSCAN fôként a hazai, illetve kelet-európai vírusokat nem
  149.           fedezi   fel.   Megoldásként  egy  vagy  két  más  forrásból
  150.           beszerzett  keresôprogramot  ajánlatos használni. A VMONITOR
  151.           program  megvéd  ugyan  a boot szektor felülírásától, de nem
  152.           véd   meg   egy  nagyon  veszélyes  dologtól,  a  FAT  tábla
  153.           felülírásától.  Abban az esetben ugyanis, ha egy vírus felül
  154.           akarja  írni  a  FAT táblát, a védelem nem tesz semmit... --
  155.           pedig tehetne.
  156.  
  157.  
  158.                    @VÖsszefoglalás@N
  159.  
  160.           A  V-Care  egy  jól  átgondolt  és felépített programcsomag,
  161.           amely  nem  csupán  egy  víruskeresôre  alapozza  a  vírusok
  162.           elleni  védelmet. Használatával nagymértékben csökkenthetô a
  163.           hálózatok   és   az   egyedi   számítógépek   fertôzôdésének
  164.           veszélye,  illetve  a  már  bejutott  vírus  detektálása  és
  165.           analizálása gyorsabbá, hatékonyabbá tehetô.
  166.  
  167.           A  probléma  csupán az, hogy hazánkban jelenleg kereskedelmi
  168.           forgalomban nem kapható.
  169.  
  170.           @KDarvas Årpád@N
  171.  
  172.  
  173.           ┌──────────────────────────────────────────────────────────┐
  174.           │                @VÖsszehasonlító  táblázat@N                  │▒
  175.           │                                                          │▒
  176.           │ Összesen  205  vírusos  file-lal  végeztük el a tesztet, │▒
  177.           │ ebbôl 46 file hazai vírussal volt megfertôzve.           │▒
  178.           │                                                          │▒
  179.           │ program neve     hagyományos (*)     heurisztikus (**)   │▒
  180.           │ TBAV 6.12        194                 195                 │▒
  181.           │ VSCAN             98                 128                 │▒
  182.           │                                                          │▒
  183.           │ @V(*):@N    hagyományos    módszerrel    megtalált   vírusos │▒
  184.           │ file-ok     száma    @V(**):@N    heurisztikus    módszerrel │▒
  185.           │ megtalált vírusos file-ok száma                          │▒
  186.           └──────────────────────────────────────────────────────────┘▒
  187.            ▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒
  188.  
  189. @<9409\EXPERT.GIF> Az EXPERT program vírusra vadászik...
  190.  
  191. @<9409\NAPLO.GIF> A hálózati ellenôrzô program bejelentkezô képernyôje
  192.  
  193. @<9409\VIRCON.GIF> Egy példa a naplófile tartalmára