home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 1996 April
/
CHIP 1996 aprilis (CD06).zip
/
CHIP_CD06.ISO
/
hypertxt.arj
/
9409
/
VIRUS.CD
< prev
next >
Wrap
Text File
|
1994-11-22
|
17KB
|
305 lines
@VF-Prot Professional 2.12a@N
@VVírusprofesszor@N
Az antivírus szoftverek közötti konkurenciaharc óriási. A
versengésben minden fejlesztô újabb és újabb ötleteket
valósít meg, hogy terméke az elsô helyet foglalja el a
vírusellenes programok palettáján.
Fridrik Skulason például kitalálta, hogy heurisztikus
módszerrel lehet az ismeretlen vírusokat keresni.
Lényegében ez azt jelenti, hogy a programokat nem csupán a
már ismert szekvenciák alapján kell vizsgálni, hanem olyan
mesterséges intelligenciával felruházott eljárással is, ami
a program kódjának visszafejtésébôl képes megállapítani a
fertôzöttséget. Ez óriási lehetôség a vírusellenes harcban,
hiszen ha létezne tökéletes heurisztikus megoldás,
gyakorlatilag megszûnne a fertôzés veszélye -- persze ha
mindenki használna ilyen programot. Tökéletes megoldás
azonban még nem létezik; a heurisztikus algoritmusok néha
""tévednek", azaz fertôzetlen file-ban vírust vélnek
találni, vagy rosszabb esetben egy-egy bonyolultabb vírust
nem találják meg. Mindenesetre ez az út vírusmentes cél
felé tart, reméljük minél hamarabb oda is ér.
Skulason az F-PROT nevû termékébe építette bele az
intelligens algoritmust, aminek következtében a termék
hatékonysága nagymértékben megnövekedett. Ezt azután a
konkurencia is megirigyelte, így már több más termék is
rendelkezik ehhez hasonló megoldással. Ilyen például a
Thunder Byte Antivirus is, aminek dokumentációjában
hivatkoznak Fridrik Skulason érdemeire... Az elgondolás
tehát kitûnô volt, amit nemcsak a konkurencia elismerése
bizonyít, hanem a különbözô szaklapok és antivírusszoftvert
tesztelô csoportok teszteredményei is. 1993-ban például
összesen kilenc különbözô teszten lett elsô.
Skulason sokáig egyedül dolgozott, azonban nemrégen üzletet
kötött a finn Data Fellows-szal, akivel együtt adták ki az
F-PROT Professional 2.12a nevû terméket. Ezt
tesztlaborunkba a termék hazai képviselôje a 2F
Számítástechnikai Szolgáltató és Szervezési Kft. juttatta
el. Az antivírus szoftver windowsos és DOS-os változatát is
megvizsgálhattuk, így képet kaphattunk a termék minkét
változatáról.
@VDOS-os változat@N
A DOS-os változat menüs képernyôje már ismerôsnek hatott a
monitoron, hiszen a közismert shareware változat is DOS
alatt fut. Különbség talán leginkább ott mutatkozott meg,
hogy a professzionális változatot nemcsak közvetlenül
futtatni, hanem installálni is lehet egy kifejezetten erre
a célra készített segédprogrammal. Az installálás nagyon
egyszerû mûvelet: csupán azt az elérési útvonalat kell
megadni, ahova az F-PROT-ot telepíteni szeretnénk.
Ezenkívül lehetôség van még a telepítés típusának
meghatározására is. Az alapértelmezés a teljes installáció,
de hálózatba kapcsolt munkaállomások esetén
munkaállomás-telepítést is kérhetünk. A már telepített
szoftver egyik programjának, a VIRSTOP-nak a beállításait
is az Install programmal lehet megváltoztatni. A
segédprogram amúgy intelligensebb, mint az általában
használatos rokonai. Próbaként telepítés után letöröltem a
felrakott file-okat, majd az AUTOEXEC.BAT-ból REM-mel
hatástalanítottam a VIRSTOP-ot elindító sort. Az újbóli
installáció során a megjegyzésként kiiktatott parancsot a
program felismerte, és lecserélte REM nélkülire (a legtöbb
telepítô ilyenkor új sort hoz létre az AUTOEXEC-ben).
A telepítés befejezése után az installációs program
felajánlja, hogy a víruskeresôvel rögtön vizsgáljuk is meg
a gépben található winchestert. Az elsô telepítésnél
ajánlatos élni a lehetôséggel, hogy megbizonyosodjunk:
valóban tiszta-e a munkaeszközünk.
A rendszer újraindítása után a VIRSTOP az AUTOEXEC-bôl
automatikusan elindul. Ez a rezidens program folyamatosan
felügyeli a DOS mûködését, és amennyiben vírusgyanús
programot észlel, azonnal jelzi. Például ha egy Yankee
Doodle-lal fertôzött programot egy ARJ-vel tömörített
file-ból kicsomagolunk, még csomagolás közben jelzi a
veszélyt. Ha viszont a @K/FREEZEE@N kapcsolót is megadjuk,
akkor a figyelmeztetô üzenet után le is állítja a gépet,
tehát megakadályozza, hogy a vírus esetleg kifejtse romboló
hatását, vagy tovább fertôzzön.
Maga az F-Prot menüvezérelt program, ami képes az ismert és
az ismeretlen vírusok keresésére, illetve eltávolítására.
Az ismert vírusokat meglévô szekvenciák alapján keresi meg,
az ismeretleneket pedig kétféleképpen: egyrészt az ismert
vírusok átiratait képes felismerni, illetve a teljesen
újakat a heurisztikus módszerrel találja meg. A kétféle
eljárást azért lényeges különválasztani, mert a program a
keresés indításakor alapértelmezésben csak az átiratokat
keresi (Secure Scan). A heurisztikus módszert külön kell
kérni (Heuristics), ilyenkor persze lelassul a keresés
sebessége. Indításkor van egy harmadik lehetôség,
miszerint az ismeretlen vírusokat egyáltalán nem keresi. A
Quick Scant csak abban az esetben ajánlott használni, ha
nagy gyakorisággal szeretnénk végignézni a winchestert.
Hatásos védekezés lehet, ha például minden nap
gyorskereséssel vizsgáljuk meg a gépet, emellett hetente
Secure Scannel, és havonta heurisztikusan.
Az F-Prot rögtön az indítás után automatikusan megvizsgálja
a memóriát. Ez annak ellenére nem tart tovább néhány
másodpercnél, hogy eközben rengeteg vírust keres. Az ezután
megjelenô fômenü egyszerûen kezelhetô. Innen érhetôk el
azok a szolgáltatások, amiket a program tartalmaz. A
vírusokkal kapcsolatos funkciók menüjébe is innen juthatunk
be, amibôl azután lehetôség van az ismert vírusokról
leírást kérni, illetve az új vírusok szekvenciáit
elhelyezni a vírusadatbázisban. Szintén a fômenübôl
kérdezhetôk le a programmal kapcsolatos információk, és
természetesen a víruskeresés menüje is innen hívható elô.
A keresést beállító menüt szintén az egyszerûség jellemzi.
Az összes állítási lehetôség -- ezeket menüszerûen
váétoztathatjuk meg -- egy ablakból olvasható le. A
megvizsgálni kívánt elérési utat magunk is megadhatjuk, de
elôre meghatározott csoportokat is kiválaszthatunk, így
például az összes winchester vagy a hálózati meghajtók
kiválasztásához sem kell sokáig gépelni. Beállítható a
keresés tárgya is, így külön engedélyezhetô vagy tilható a
boot szektor, a file és a pakolt file vizsgálata. Ezenkívül
itt lehet megadni, hogy kívánjuk-e használni a magunk által
megadott szekvenciákat vagy sem. Ezt nagy valószínûséggel
azért lehet ki- és bekapcsolgatni, mert ennek használata
nagymértékben lassítja a keresés sebességét. Mielôtt
elindítanánk a keresést, még azt is megadhatjuk, hogy a
file-ok közül melyikeket nézze meg, és hogy milyen eljárást
használjon a keresés során. Ajánlott a gyárilag beállított
végrehajthatókat (Standard executables) használni,
különösen akkor, ha keresési metodikaként a heurisztikus
módszert választjuk. Ha az összes file vizsgálatát kértük
heurisztikus módszerrel, figyelmeztetést is kapunk arról,
hogy mivel adatbázisok is lehetnek a lemezen, sok
vaklármára lehet számítani.
Az F-Prot további elônye, hogy parancssorból is indítható.
Ilyenkor a beállítási lehetôségek parancssori kapcsolók
formájában érhetôk el. Ezt a már-már ""fapadosnak" mondható
üzemmódot minden bizonnyal a batch programokba való
illeszthetôség kedvéért hagyták meg, amit az is bizonyít,
hogy a telepített szoftver alkönytárában néhány batch
programpélda található. Ezt egyébként különösen jól lehet
használni a csomagban megtalálható F-Auto nevû
segédprogrammal együtt. Az F-Auto ugyanis arra szolgál,
hogy a víruskeresôt bizonyos idôközönként rendszeresen
lefuttassuk. A dokumentációban foglaltak szerint
kifejezetten az AUTOEXEC.BAT-ba való használatra ajánlják.
îgy lehet elérni azt, hogy a víruskeresôt naponta, hetente,
vagy akár havonta egyszer kell csak lefuttatni.
@VWindowsos változat@N
A windowsos setup -- hasonlóan a DOS-os telepítôhöz --
egyszerû felhasználói felülettel rendelkezik. Talán az az
egyetlen szépséghibája a programnak, hogy magyar Windows
alatt a háttérben futó F-Agent-et nem az ""Automatikus
indítás" csoportba helyezi el, hanem a ""Startup"-ba. Ezt
eddig szinte az összes program elvétette, kivéve talán a
Microsoft magyar nyelvû termékeit.
A Windows alatt futó változat jól kihasználja a Windows
lehetôségeit. Windows alatt ugyanis nincs szükség rezidens
programra ahhoz, hogy folyamatosan figyelni lehessen az
operációs rendszer munkáját, hiszen ezt egy többfeladatatos
környezetben háttérfeladatként lehet megtenni. A VIRSTOP
helyett egy F-Agent nevû program látja el a felügyeletet,
ami összezsugorodik ikonná, és onnan figyeli a
tevékenységet. Ha viszont a kurzorral az ikonra ""bökünk",
akkor nemcsak a windowsos ablakkezelési funkciókat érhetjük
el, hanem egy külön menüpont segítségével magát az F-Prot
for Windowst is.
A víruskeresô a felhasználó kényelmét teljesen kiszolgálja.
Mint minden windowsos termék, ez is teljesen menüvezérelt,
és minden gombnyomásra érhetô el. További finomságot
jelent, hogy az egyes meghajtók vizsgálatához nem szükséges
a menürendszerben keresgélni, mivel különbözô feladatokat
lehet elôre definiálni. Ezek azután gombnyomásra indíthatók
el, vagy egy beépített idôzítôvel a keresés
automatizálható. Baállítható például, hogy hetente egyszer
fusson le a winchesterre a keresés, de az is, hogy akkor
induljon el, ha már 10 perce nem dolgozik a fejlhasználó a
gépen. A multitaskingnak köszönhetôen a háttérben futhat a
keresés, így például szövegszerkesztés közben el lehet
végezni a vírusvizsgálatot. Ez egyébként nagyon jó
tulajdonság, hiszen senki sem szeret sokat ücsörögni
tétlenül a ""kerregô" gép elôtt.
@VTeszt@N
Az F-Prot keresési hatékonyságát egy 23 Mbyte-os
adatbázison végeztük el, körülbelül 2000 file-ban
megközelítôleg 1000 vírusos program volt. A keresés
hatékonyságán kívül kíváncsiak voltunk a sebbességére is.
Összehasonlítási alapul csupán egyetlen víruskeresôt
vettünk, mivel ez volt az egyetlen olyan antivírus
szoftver, ami szerkesztôségünk tagjai között egyhangú
elismerésben részesült. Az elvégzett teszt szerint az
F-Prot körülbelül 50 vírussal ismert fel többet, de a
keresés sebessége harmada a Thunder Byte Antivirusnak.
A vaklármák vizsgálatához egy ""tiszta" winchestert
használtunk, ami több mint 1300 file-t tartalmazott. Ennek
során több érdekesség is kiderült. Az egyik, hogy közel
azonos vakriasztást ad minkét termék. A programok között
volt egy, amit mindkét szoftver vírusgyanúsnak talált: egy
Stoned nevû vírus killerében található azonosító
szekvenciát vélte mindkét termék vírusnak. A Thunder Byte
Antivirus más gyanúsat nem talált, ezzel szemben az F-Prot
további hármat. Ezek közül az egyik egy file-ba lementett
Stoned vírussal fertôzött boot szektor volt, amit helyesen
Stoned image file-nak ismert fel. A másik kettôre pedig azt
írta ki, hogy a program belépési pontja a programon kívülre
mutat, ezért ez rendszerelszállást okozhat -- veszélyes.
További érdekesség, hogy az F-Prot amikor ugyanezen az
adatbázison heurisztikus módszerrel futott végig, a két
veszélyesnek tartott program közül a másodikat már nem
tartotta annak. Az intelligens keresés minden bizonnyal
mûködik.
@VAjánlható-e az F-Prot?@N
Az eredmények azt bizonyítják, hogy az F-Prot egy finoman
kidolgozott szoftver, ami nagy biztonságot nyújt az általa
védett gépeknek. Az egyszerû felhasználói felület, a
gyorsaság és a megbízhatóság mind fontos tényezôje egy
modern antivírus szoftvernek. A windowsos változat sok jó
tulajdonsággal rendelkezik, ezért aki Windows alatt
dolgozik, inkább azt használja. A DOS-os a hozzá adott
memóriavédelemmel és a rendszeres vizsgálatot segítô
segédprogramokkal igazán kényelmes megoldást jelent a
vírusok elleni harcban -- mindenkinek csak ajánlani tudom.
@KRudnai Tamás@N
Mérési eredmények
Termék neve Keresés típusa Vírusos programok(*) Vírusmentes programok(**)
F-Prot heurisztikus 966/14/11:54 0/3/6:24
F-Prot Secure 943/14/6:35 0/4/3:44
F-Prot Quick 759/0/1:59 0/0/1:09
TBAV High Heuristic 917/2:44 19/1:02
TBAV Auto Heuristic 917/2:44 1/1:01
TBAV Low Heuristic 875/2:44 1/1:02
TBAV Quick Scan 564/1:09 1/0:28
F-Prot heurisztikus+1 n.a. 0/3/11:37
F-Prot heurisztikus+20 n.a. 0/3/19:35
F-Prot Secure+1 n.a. 0/4/8:55
F-Prot Secure+20 n.a. 0/4/17:11
(*) 983 tiszta és 991 vírusos file -- összesen 22,9 Mbyte
(**) (1339 file -- összesen 34.2 Mbyte)
@VTovábbi információ:@N
2F Számítástechnikai Szolgáltató és Szervezési Kft.
H-1112 Budapest, Görbe u. 4/b. tel./fax: 185-3627
@<9409\FP01.GIF>Az F-Prot for Windows barátságos és egyszerû felhasználói felülettel@N
@<9409\FP01.GIF>rendelkezik@N
@<9409\FP02.GIF>A végrehajtandó feladatokat elôre is meg lehet határozni.@N
@<9409\FP03.GIF>A feladatok végrahajtásának idejét elôre be lehet állítani@N
@<9409\FP04.GIF>A DOS-os F-Prot fômenüje már ismerôsként köszön vissza a képernyôn...@N
@<9409\FP05.GIF>Három keresési algoritmus közül választhatunk@N
@<9409\FP06.GIF>Alapértelmezésben a pakolt file-okat is megnézi, hacsak ki nem kapcsoljuk@N
@<9409\FP07.GIF>A windowsos változatban az adminisztártor groupware koncepció szerint@N
@<9409\FP07.GIF>menedzselheti a vírusvédelmmel kapcsolatos teendôket.@N
@<9409\FP08.GIF>A vírusokról információ kérhetô@N
@<9409\FP09.GIF>Az F-Prot saját bevallása szerint 1135 különbözô víruscsaládot ismer, ahol egy@N
@<9409\FP09.GIF>család akár 155 vírust is jelenthet@N
@<9409\FP10.GIF>Az F-Prot az ismeretlen vírusokat heurisztikus módszerrel ismeri fel@N
@<9409\FP11.GIF>Az installációs menüt az egyszerûség jellemzi@N