что тем пользователям, которым не понравился (или которые плохо понимают) интерфейс, предложенный программой PowerQuest Lost&Found, могут воспользоваться утилитой PowerQuest Lost&Found с упрощенным диалоговым режимом «Мастером».

Хакеры также иногда являются причиной отказа в работе компьютера.

Даже достаточно безобидный хакер может озадачить пользователя самым неожиданным образом. Мы приведем только один такой «безобидный» пример. Программист решил использовать ввод пароля в своем приложении. При третьем неправильном вводе пароля программа стирает файл (т. е. самое себя) из всех каталогов. Ясно, что при необузданной фантазии программиста последствия для пользователя данного приложения могут быть самыми непредсказуемыми.

После компиляции (например, на языке C++) программист получает исполняемый файл — «Password.exe». Имя этого файла вставляется в строку в файл «Autoexec.bat».

Снова о вирусах/Viruses — работа с антивирусными программами

Вирусы могут распространяться в разные времена с различной скоростью. Говоря про файловые вирусы, необходимо отметить такую их черту, как скорость распространения. Чем быстрее распространяется вирус, тем вероятнее возникновение эпидемии этого вируса. Чем медленнее распространяется вирус, тем сложнее его обнаружить (если, конечно, этот вирус пока неизвестен антивирусным программам).

Понятия быстрого и медленного вируса (Fast infector, Slow infector) являются достаточно относительными и используются только как характеристика вируса при его описании. Нерезидентные вирусы часто являются медленными — большинство из них при запуске заражает один или два-три файла и не успевает заполнить компьютер до запуска антивирусной программы (или появления новой версии антивируса, настроенной на данный вирус). Существуют, конечно, нерезидентные быстрые вирусы, которые при запуске ищут и заражают все выполняемые файлы, однако такие вирусы очень заметны: при запуске каждого зараженного файла компьютер некоторое (иногда достаточно длительное) время активно работает с винчестером, что демаскирует вирус.

Скорость распространения резидентных вирусов обычно выше, чем у нерезидентных, они заражают файлы при каких-либо обращениях к ним. В результате на диске оказываются зараженными все или почти все файлы, которые постоянно используются в работе.

Скорость распространения резидентных файловых вирусов, заражающих файлы только при запуске на выполнение, будет ниже, чем у вирусов, заражающих файлы и при их открытии, переименовании, изменении атрибутов файла и т. д.

Многие вирусы при создании своей копии в оперативной памяти компьютера пытаются занять область памяти с самыми старшими адресами, разрушая временную часть командного интерпретатора COMMAND.COM. По окончании работы зараженной программы временная часть интерпретатора восстанавливается, при этом происходит открытие файла COMMAND.СОМ и его заражение.

Таким образом, при запуске подобного вируса первым будет заражен файл COMMAND.COM.

Внедрение вирусов в SYS-файлы

Вирусы, внедряющиеся в SYS-файл, приписывают свои коды к телу файла и модифицируют адреса программ стратегии (Strategy) и прерывания (Interrupt) заражаемого драйвера (встречаются вирусы, изменяющие адрес только одной из программ).

При инициализации зараженного драйвера вирус перехватывает соответствующий запрос операционной системы, передает ее драйверу, ждет ответа на этот запрос, корректирует его и остается в оперативной памяти вместе с драйвером в одном блоке памяти. Такой вирус может быть чрезвычайно опасным и живучим, так как внедряется в ОЗУ при загрузке DOS раньше любой антивирусной программы, если она, конечно, тоже не является драйвером.

TSR (резидентные) вирусы

DOS предусматривает единственный способ создания резидентных (TSR) модулей — при помощи функции KEEP (int21h или int27h). Многие файловые вирусы для маскировки своего распространения используют другой способ, обрабатывая системные области, управляющие распределением памяти, выделяют для себя свободный участок памяти, помечают его как занятый и переписывают туда свою копию.

Некоторые вирусы внедряют свои TSR-копии в свободные участки памяти в таблице секторов прерываний, в рабочие области DOS, в память, отведенную под системные буферы.

Известны два способа проверки резидентным вирусом наличия своей копии в памяти ПК:

• Первый заключается в том, что вирус вводит новую функцию некоторого прерывания, действие которой заключается в возврате значения «я здесь». При старте вирус обращается к ней и, если возвращенное значение совпадает со значением «я здесь», то память ПК уже заражена и повторное заражение не производится.

• При проверке вторым способом вирус просто скопирует память ПК.

Оба способа могут в той или иной мере сочетаться друг с другом.

Диагностика и профилактика заражения ПК вирусами

Один из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика состоит из небольшого количества правил, соблюдение которых значительно снижает вероятность заражения вирусом и утери каких-либо данных.

1. Лучше покупать дистрибутивные копии программного обеспечения у официальных продавцов, чем бесплатно или почти бесплатно копировать их из других источников. Отсюда вытекает необходимость хранения дистрибутивных копий программного обеспечения на защищенных от записи дискетах.

2. Периодически сохраняйте файлы, с которыми ведется работа, на внешний носитель, например дискеты. Такие копии носят название Backup-копий. При наличии стримера, CD-ROM или другого носителя большого объема имеет смысл делать Backup всего содержимого винчестера.

3. Постарайтесь не запускать непроверенные файлы, в том числе полученные из компьютерной сети. Желательно использовать только программы, полученные из надежных источников. Перед запуском новых программ обязательно проверьте их одним или несколькими антивирусами. Желательно также, чтобы при работе с новым программным обеспечением в памяти находился какой-либо антивирусный «супервизор». Если запускаемая программа заражена вирусом, то такой «супервизор» поможет обнаружить вирус и остановить его распространение.

4. Необходимо ограничить круг лиц, допущенных к работе на ПК. Как правило, наиболее часто подвержены заражению «многопользовательские» ПК (например, в компьютерных классах школ и институтов).

5. Пользуйтесь утилитами проверки целостности информации. Такие утилиты сохраняют в специальных базах данных информацию о системных областях дисков (или целиком системные области) и информацию о файлах (контрольные суммы, размеры, атрибуты, даты последней модификации файлов и т. д.).

6. Периодически сравнивайте информацию, хранящуюся в подобной базе данных, с реальным содержимым винчестера, т. к. практически любое несоответствие может служить сигналом о появлении вируса или «троянской» программы.

7. Руководствуйтесь следующей методикой использования антивирусных программ (перед использованием антивирусных программ крайне желательно загрузиться с резервной копии DOS, расположенной на заведомо чистой от вирусов и защищенной от записи дискете).

Перезагрузка ПК должна быть холодной, т. к. некоторые вирусы выживают при теплой перезагрузке. Желательно, чтобы антивирусные программы, используемые для проверки, были самых последних версий. Если обнаружены зараженные файлы, то следует:

• распечатать их список;

• если для этих файлов нет Backup-копии, то сохранить их на дискеты;

• при помощи антивирусной программы восстановить зараженные файлы и затем проверить их работоспособность и соответствие Backup-копии (если есть);

• если восстановление файлов произошло не вполне корректно, то их следует уничтожить и переписать с Backup-копий; если же копий нет, то восстановить зараженные файлы с дискет и попытаться дезактивировать их при помощи другого антивируса. Следует отметить, что качество восстановления файлов многими антивирусными программами оставляет желать лучшего. Необходимо обращать