Читаем "Шпионские штучки" и устройства для защиты объектов и информации полностью

РЕКОМЕНДУЕТСЯ запускать программу Dr. Web для тестирования файлов, памяти и системных областей магнитных носителей с защищенного от записи диска поставки (или архивного диска), предварительно загрузив операционную систему с защищенной от записи системной дискеты.

Командная строка для запуска Dr. Web выглядит следующим образом:

Диск:

X: — логическое устройство жесткого диска или физическое устройство гибкого диска, например, F: или А:;

* — все логические устройства на жестком диске;

?: — текущее устройство.

Путь:

путь или маска тестируемых файлов.

Ключи:

/А — диагностика всех файлов на заданном устройстве;

/В — вывод сообщений в режиме монохромного монитора;

/D — удаление файлов, восстановление которых невозможно;

/F — лечение дисков и файлов, удаление найденных вирусов;

/Н — поиск вирусов в адресном пространстве oт 0 Кбат до 1088 Кбайт;

/L — вывод сообщений на другом языке;

/М — работа без поиска вирусов в памяти компьютера;

/N — тестирование только одного флоппи-диска без вопроса замены диска;

/О — вывод сообщения "ОК" для неинфицированных файлов;

/Р[N] — запись протокола работы в файл (по умолчанию в файл REPORT.WEB);

/R — загрузка знакогенератора русского алфавита;

/S[уровень] — эвристический анализ файлов и поиск в них неизвестных вирусов:

0 — минимальный уровень,

1 — оптимальный (устанавливается по умолчанию),

2 — "параноический";

/Т — отключение проверки целостности собственного программного кода;

/U|M|[WI[диск: ] — проверка файлов, упакованных LZEXE, DIET, PKLITE, а также вакцинированных антивирусом CPAV:

N — отключение вывода на экран информации о названии утилит, с помощью которых произведена упаковка файлов.

W — восстановление файла и удаление из него кода распаковщика.

Диск: — устройство, на котором будет производиться распаковка файлов.

/V — контроль за заражением тестируемых файлов активным резидентным вирусом;

/Z — пять первых цифр серийного номера платы Sheriff;

/? — вывод на экран краткой справки.

* * *

Если в командной строке Dr. Web не указано ни одного ключа, то вся информация для текущего запуска будет считываться из файла конфигурации WEB.INI, расположенного в том же каталоге, что и файл WEB.EXE. Формат файла конфигурации WEB.INI представлен в текстовом виде и полностью соответствует формату командной строки программы Dr. Web. В файле WEB.INI можно задавать как ключи, необходимые для текущего запуска, так и тестируемые диски или устройства. В комплект поставки входит стандартный файл WEB.INI, который необходимо откорректировать под пользовательские задачи.

Если вы переименовываете программу WEB.EXE (для маскировки запуска Dr. Web от резидентных вирусов, контролирующих работу WEB.EXE), то необходимо переименовать также файл WEB.INI (если он используется для работы) в имя, соответствующее программе Dr. Web, но расширение файла конфигурации должно остаться прежнее INI. Например: файл WEB.EXE переименован в файл ANTIVIR.EXE, тогда файл WEB.INI необходимо переименовать в ANTIVIR.INI.

Если файл конфигурации отсутствует и ключи в командной строке не указаны, то Dr. Web будет сканировать память компьютера в адресном пространстве or 0 до 640 Кбайт, а также файлы с расширениями *.COM, *.ЕХЕ, *.ВАТ, *.SYS, *.BIN, *.DRV. *.ВОО и *.OV? и выводить сообщения об их заражении известными вирусами.

Следует отметить, что последние версии антивирусной программы Dr.Web работают также и в диалоговом режиме. Настройки, задаваемые с помощью приведенных выше ключей, можно установить в диалоговом окне, представленном на рис. П4.1.

Рис. П4.1.Диалоговое окно настройки Dr.Web

Комментарии

Режим /V

В процессе тестирования файла, в режиме /V (контроль за заражением тестируемых файлов резидентным вирусом active resident Virus), Dr. Web может выдать на экран сообщение типа:

Данное сообщение говорит о том, что перед открытием указанного файла на чтение его длина имела одно значение, а после открытия другое. Возможно, что в момент открытия этого файла средствами Dr.Web в памяти находился неизвестный резидентный вирус, который произвел заражение данного файла. В данном случае приращение длины будет положительным. Или возможен другой вариант, когда в памяти находится резидентный Stealth-вирус (вирус-невидимка), который пытается скрыть наличие своей копии в тестируемом файле. В этом случае приращение длины — отрицательное.

В обоих случаях рекомендуется прекратить работу, перегрузить компьютер с дискеты с "чистой" операционной системой и произвести детальный анализ подозрительных файлов (запуск Web /S с защищенного от записи дистрибутивного диска поставки).

Режим /F

Если в режиме / F (Files cure) при попытке лечения загрузочного вируса на диске Dr. Web выдаст сообщение: