home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 1996 April
/
CHIP 1996 aprilis (CD06).zip
/
CHIP_CD06.ISO
/
hypertxt.arj
/
9409
/
VCARE.CD
< prev
next >
Wrap
Text File
|
1994-11-22
|
11KB
|
193 lines
@VV-Care vírusvédelmi rendszer@N
@VVírusvédelem -- csomagban@N
A vírusvédelem összehangolása egy hálózatban igen nehézkes
feladat. A programok és az emberek különbözôsége nagyon
megnehezíti a munkát. A most bemutatásra kerülô
programcsomag megoldja a probléma szoftveres részét, míg az
emberi tényezô egyedi bánásmódot igényel.
A V-Care egy komplett vírusvédelmi programcsomag, amit arra
szántak, hogy a lehetô legtöbb eszközzel elôzze meg a
vírusok behatolását egy ""zárt rendszerbe", illetve
pusztítását azon belül. Bárhol használható, mivel egyedi és
hálózatba kötött számítógépre is telepíthetô. Ez elônyt
jelent egy nagyvállalat esetében, ahol használnak
hálózatot, de van néhány gép, ami csak úgy mindenféle
köldökzsinór nélkül hever az asztalon. Mivel minden gépre,
illetve a hálózati serverre is ugyanazt a programot
telepítik, így a kompatibilitás is biztosított -- a védelem
egyenletes, bár nem tökéletes.
A telepítôprogram automatikusan elvégez mindent, mind az
egyedi, mind a hálózatos telepítés esetén. A DISKPART
programmal archiválja a boot és masterboot rekordot, a CMOS
memória tartalmát, illetve a rendszerfile-okat, majd a
COMMAND.COM-ot. Az EXPERT programmal pedig ellenôrzi, hogy
van-e a memóriában programfile-okat fertôzô vírus, majd
telepíti a rendszert.
A hálózati telepítést természetesen csak supervisori
jogosultságú felhasználó végezheti. Miután befejezôdött a
serverre való telepítés, installálnunk kell a
munkaállomások merevlemezeire is.
@VA telepítés után...@N
...újraindítjuk a gépet. A VIRTEST program ellenôrzi a
memória vírusmentességét, majd a VSCAN program
víruskeresést végez a gyökérkönyvtárban, végül a VGUARD a
gyökérkönyvtárban lévô file-ok integritását ellenôrzi. Ha
másképp nem rendelkeztünk, akkor a VSECURE program
rezidenssé válik, s minden programindításkor ellenôrzi a
futtatni kívánt programot, hogy vírusos-e. Mivel a VSECURE
program kevés lenne önmagában a védelemhez, így érdemes
használni a VMONITOR-t is, amely jelzi, ha valamelyik
program a boot szektorba vagy netán egy programfile-ba
próbál írni. Amennyiben ilyen mûveletet észlel, azt meg is
tudja akadályozni.
A hálózati telepítés esetén újra be kell jelentkezni a
hálózatba ahhoz, hogy mûködésbe lépjen a V-Care hálózati
része. Bejelentkezés után ellenôrzi a memóriát, majd a
munkaállomás merevlemezének gyökérkönyvtárát. Ha nincs
beállítva más opció, néhány másodperc alatt elvégzi e két
mûveletet, de ha vírust, vagy vírusra utaló jelenséget
észlel, kijelzi a képernyôn, illetve üzenetet küld a
serverre vagy a kijelölt munkaállomásra, és bejegyzi a
központi naplóba. A központi naplót a rendszergazda
felügyeli, ez alapján lehet nyomon követni késôbb a
vírusjelenségeket. Abban az esetben, ha munka közben egy
floppyt ellenôrzünk a VSCAN víruskeresô programmal, és az
például bootvírust talál, akkor egy ablakban kiírja a
képernyôre a fertôzött szektort szöveges formátumban, ezzel
is segítve az azonosítást. A mûvelettel párhuzamosan
bejegyzést tesz a központi naplóba, illetve üzenetet küld a
kijelölt munkaállomásra, ahol a rendszergazda tartózkodik.
Megfigyelhetô, hogy bekapcsoláskor és a hálózatba való
bejelentkezéskor a vírusellenôrzés és integritásvizsgálat
csak a merevlemez gyökérkönyvtárában hajtódik végre. Ezt
azért oldották meg így, mert a teljes merevlemez vizsgálata
minden rendszertöltéskor, illetve hálózatba jelentkezéskor
nagyon lelassítaná a munkát. Kérdés azonban a merevlemez
gyökérkönyvtárán kívül esô file-ok ellenôrzésének módja és
ideje. Ezt a problémát a DAILY nevû programmal hidalták át,
amely az elôre meghatározott napon és idôpontban lefuttatja
a paraméterként megadott víruskeresôt, jelen esetben a
VSCAN-t.
@Vùjdonságok@N
A VSCAN program már azzal az új keresési módszerrel is fel
van vértezve, ami nélkül manapság egy víruskeresô nem
igazán víruskeresô. Ugyanis feliratkozott a heurisztikus
keresôk listájára, az F-Prot és a TBAV mellé. Bár ez a
heurisztikus keresô még eléggé gyerekcipôben jár, de így is
jó hatásfokú, és nem okoz feleslegesen vakriasztást. A
heurisztikus keresôk általános betegsége -- ami a TBAV és
az F-PROT hatásfokát és biztonságosságát is csökkenti --
ennél a keresônél is megfigyelhetô. Néhány vírus annyira
eltitkosítja magát, hogy a heurisztikus algoritmusok nem
találják meg a vírusokra jellemzô kódsorozatokat.
Egy másik merôben új dolog a CODE CORRELATOR. Ez a VGUARD
program által létrehozott adatbázissal használatos. A
programok vírusmentesítésére használható. Pontosabban csak
azoktól a vírusoktól tudja megszabadítani a
programfile-okat, amelyek a visszaállításhoz szükséges
információt nem titkosítják el. Ilyen például a Whale
vírus.
Az EXPERT program a memóriában lévô, programfile-t fertôzô
vírusokat próbálja elkapni, majd analizálni. Ezt úgy
csinálja, hogy létrehoz egy .COM majd .EXE file-t, amelyet
megnyit írásra, beleír, majd lezárja. Ha vírus van a
memóriában, akkor az vagy a megnyitáskor, vagy a file-ba
íráskor hozzámásolja magát a file-hoz. Ezt a mûveletet
négyszer megismétli mind a .COM, mind az .EXE file
esetében. Az elemzés során megkeresi a vírusos file-ban,
pontosabban a file-hoz kapcsolódott vírusban azt a
pozíciót, ahol az eredeti file elejére vonatkozó információ
van, mivel ez szükséges a helyreállításhoz. A .COM file-ok
esetében ez általában maximum 50 byte a program elejébôl,
míg .EXE file-oknál az EXE fejléc elsô 32 byte-ja.
Amennyiben mind a négy .COM vagy .EXE file-ban azonos
helyen van a keresett információ, akkor kész az irtási
metódus az adott vírusra.
A VMONITOR program egy memóriarezidens írásfigyelô program.
A beállított funkciókat figyeli, és ha írni akar valamelyik
program, például egy programfile-ba, vagy a boot szektorba,
akkor figyelmezteti a felhasználót, s abortálja az írást.
@VGyakorlati tapasztalatok@N
Az üzenetküldés és naplózás nagymértékben felgyorsítja,
illetve egyszerûvé teszi a hálózatot használóknál a vírusok
detektálását, azonosítását és irtását. Az
integritásvédelem, a többrétû memóriateszt és ellenôrzés, a
rezidens vírusfigyelô és a víruskeresô program egymásra
épülô rendszert alkotva védi az adatokat, programokat a
vírusoktól.
Használat közben a VSECURE és a VMONITOR program nem
okozott különösebb sebességcsökkenést. A bekapcsolás utáni
vírusellenôrzés is kellôképpen gyors -- nem kell perceket
várni minden bekapcsoláskor a vírus- és
integritásellenôrzésre.
A VSCAN és a VSECURE vírusismerete sajnos nagyon gyatra.
Ennek bizonyítására összehasonlító táblázatot készítettünk.
A VSCAN fôként a hazai, illetve kelet-európai vírusokat nem
fedezi fel. Megoldásként egy vagy két más forrásból
beszerzett keresôprogramot ajánlatos használni. A VMONITOR
program megvéd ugyan a boot szektor felülírásától, de nem
véd meg egy nagyon veszélyes dologtól, a FAT tábla
felülírásától. Abban az esetben ugyanis, ha egy vírus felül
akarja írni a FAT táblát, a védelem nem tesz semmit... --
pedig tehetne.
@VÖsszefoglalás@N
A V-Care egy jól átgondolt és felépített programcsomag,
amely nem csupán egy víruskeresôre alapozza a vírusok
elleni védelmet. Használatával nagymértékben csökkenthetô a
hálózatok és az egyedi számítógépek fertôzôdésének
veszélye, illetve a már bejutott vírus detektálása és
analizálása gyorsabbá, hatékonyabbá tehetô.
A probléma csupán az, hogy hazánkban jelenleg kereskedelmi
forgalomban nem kapható.
@KDarvas Årpád@N
┌──────────────────────────────────────────────────────────┐
│ @VÖsszehasonlító táblázat@N │▒
│ │▒
│ Összesen 205 vírusos file-lal végeztük el a tesztet, │▒
│ ebbôl 46 file hazai vírussal volt megfertôzve. │▒
│ │▒
│ program neve hagyományos (*) heurisztikus (**) │▒
│ TBAV 6.12 194 195 │▒
│ VSCAN 98 128 │▒
│ │▒
│ @V(*):@N hagyományos módszerrel megtalált vírusos │▒
│ file-ok száma @V(**):@N heurisztikus módszerrel │▒
│ megtalált vírusos file-ok száma │▒
└──────────────────────────────────────────────────────────┘▒
▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒
@<9409\EXPERT.GIF> Az EXPERT program vírusra vadászik...
@<9409\NAPLO.GIF> A hálózati ellenôrzô program bejelentkezô képernyôje
@<9409\VIRCON.GIF> Egy példa a naplófile tartalmára