Часто задаваемые Вопросы про антивирус ADinf32 (Вопросы-Ответы)

• Каково место ADinf32 в системе антивирусной защиты? Чаще всего под словом "антивирус" понимают только один класс антивирусных программ - программы-сканеры. Это программы, которые "знают в лицо" многие тысячи вирусов. Кроме того, современные сканеры проводят эвристический анализ файлов, определяя наличие неизвестных вирусов с некоторой вероятностью по косвенным признакам. К классу программ-сканеров относятся широко известные программы DrWeb, KAV и McAfee VirusScan. Однако существуют и другие классы антивирусных программ. Антивирусы-сканеры наиболее просты и интуитивно понятны в использовании, но построить полноценную антивирусную защиту с использованием только антивирусов-сканеров невозможно. Необходимо строить комплексную защиту. Почему? Попробуем ответить на этот вопрос. Главным недостатком антивирусов-сканеров, не позволяющим организовать повседневную проверку дисков, является их невысокая скорость работы. Проверяя каждый файл на вирусы, современный сканер проводит эмуляцию выполнения процессорных команд и анализирует файлы на возможное заражение полиморфными вирусами. Все это занимает немало времени. Сканирование на вирусы современных много-гигабайтных дисков может занимать до нескольких часов времени, а использование резидентных сканеров снижает общую производительность системы. Второй недостаток сканеров - необходимость их регулярного обновления. Только самая последняя версия сканеров со всеми дополнениями базы с описаниями вирусов может обеспечивать адекватную защиту. Сканер, не обновлявшийся две недели, уже устаревает. Антивирусы-ревизоры, в частности ADinf32, лишены основных недостатков антивирусов-сканеров. Время проверки дисков составляет минуты и программа не требует еженедельного обновления версий и вирусных баз, позволяя при этом обнаруживать, в том числе, новые неизвестные вирусы. Однако использование только ревизоров также не позволяет обеспечить полную защиту, поскольку ревизоры по своей сути не позволяют проводить входной контроль новых файлов. Преодолеть перечисленные недостатки можно, используя комплекс антивирусных программ - работающие совместно ревизор и сканер. Хотя при совместном использовании также необходимо обновлять базы сканера, ревизор во многих случаях позволяет обнаруживать новые вирусы даже при устаревших базах. Ревизор ADinf32 позволяет организовать совместную работу со сканерами DrWeb, Kaspersky AV или McAfee VirusScan и фактически управляет проверками файлов. Очевидно, что если файл вчера был проверен на вирусы с помощью сканера и сегодня не изменился, то повторно проверять его сканером бессмысленно. ADinf32 позволяет сформировать список новых, измененных, переименованных и перемещенных файлов, которые действительно необходимо проверить с помощью сканера, запустить сканер и передать ему этот список. Сканер в этом случае проверяет только переданные ему файлы, что существенно уменьшает время проверки и позволяет организовать реальный ежедневный антивирусный контроль Вашей системы. Кроме построения антивирусной защиты использование ревизора ADinf32 позволяет поддерживать порядок на дисках, находить случайно потерянные файлы, анализировать результаты сбоев системы, проверять целостность данных, например, баз данных, архивов или документов и многое-многое другое.

• Может ли ADinf32 не заметить вирус? Этот вопрос задают очень часто. И ответ на него может быть только один. К сожалению, панацеи от вирусов не существует и не может существовать. На настоящий момент ADinf32 является надежной программой для обнаружения вирусов, но используя его, надо хорошо понимать его возможности. Рассмотрим случаи, в которых ADinf32 может не сообщить Вам о вирусе. Во-первых, если Ваш компьютер уже был заражен вирусом до установки ADinf32, то ревизор в стандартном режиме не увидит вирус, поскольку он ищет вирусы по изменениям файлов, а в этом случае файлы уже не меняются. Однако, если вирус маскируется, т.е. является стелс-вирусом, то он будет обнаружен в режиме "Поиск стелс" Мы рекомендуем не забывать про этот режим работы ADinf32 и запускать его время от времени. Во-вторых, ревизор не может обнаружить вирусы, которые заражают файлы только при переписи. Впрочем, если эти вирусы маскируются, то они обнаруживаются в режиме "Поиск стелс", а если не маскируются, то их видно невооруженным глазом. Например, Вы копируете файл с A: на C:, а длины оригинала и копии не совпадают. Чтобы обнаруживать такие вирусы с помощью ADinf32, можно использовать следующий прием. Надо написать BAT-файл, который копирует несколько исполняемых файлов, например, на другой диск, а затем обратно на исходное место. Этот файл можно запускать, например, перед выключением компьютера. Тогда при утренней проверке после включения компьютера ADinf32 немедленно обнаружит наличие вируса. Для болшей надежности переписываемые файлы можно отметить как "неизменяемые" в настройках ADinf32. В-третих, ADinf32 допускает отключение многих проверок. Если Вы, например, отключили проверку загрузочного сектора диска C: или убрали из списка расширений контролируемых файлов файлы .COM или .EXE, то Вы можете не заметить заражение компьютера вирусом. И, наконец, в-четвертых, поскольку популярность ADinf32 растет, существуют вирусы, ориентированные на борьбу именно с ним. Уже существуют несколько вирусов, которые пытаются просто стереть с диска файлы, начинающиеся на "ADIN", но что дальше изобретут нездоровые умы вирусописателей, предсказать невозможно.

• Как выбрать тип контрольных сумм для проверки файлов? ADinf32 пoзвoляет назначить различные виды кoнтpoля файлoв: проверка без кoнтpoльных сумм (тoлькo длина), кoнтpoль пo быстpым кoнтpoльным суммам, полный контроль файлов с использованием алгоритмов CRC16 или CRC32, полный контроль файлов одновременно двумя алгоритмами (CRC48), полный контроль файлов по специальной 64-битной хэш-функции LAN64, (только модификация ADinf Pro), контроль изменения макрокоманд в документах MS-Word (файлы .DOC, .DOT) и Excel (файлы .XLS, .XLT и др.). Спoсoб вычисления "быстpых" кoнтpoльных сумм основан на знании внутpенней стpуктуpы испoлняемых файлoв форматов COM, MZ (Ms-DOS), NE (Windows 3.xx), PE (Windows 95/98/NT) и LE (VxD), пoэтoму имеет смысл назначать кoнтpoль пo быстpым кoнтpoльным суммам тoлькo для файлoв с pасшиpениями COM, EXE, DLL, DRV, VXD, 386. Быстpые кoнтpoльные суммы oбеспечивают надежнoе oбнаpужение виpусoв без pасчета кoнтpoльнoй суммы всегo файла, пoэтoму изменение, вызваннoе не виpусoм, в некoтopых частях файла пpи кoнтpoле этим спoсoбoм мoжет быть не замеченo. Контрольные суммы CRC16, CRC32 и CRC48 позволяют надежно обнаружить как заражение вирусом, так и любую случайную модификацию файла, например, вызванную сбоем при записи. Чем выше размерность контрольной суммы, тем надежнее контроль. Специализированная хэш-функция LAN64 предназначена для наиболее надежного контроля за сохранностью особо ценной информации. Она гарантирует не только обнаружение случайных сбоев, но и полностью исключает возможность незаметной преднамеренной модификации данных. Дополнительно о хэш-функции LAN64 см. в ответах ниже. Последний тип контрольной суммы носит название "макро". Этот тип контрольных сумм предназначен для борьбы с макро-вирусами. Если файлы .DOC, .DOT, .XLT и .XLS контролируются с использованием режима "макро", то обычные изменения таких файлов в процессе повседневной работы пользователя не вызывают срабатывания ревизора. Но изменение макрокоманд в документах, т.е. заражение макро-вирусами, будет немедленно обнаружено.

• Как настроить уровень проверок? Если у Вас каждый день меняется большое количество файлов, Вы можете пометить каталоги или отдельные файлы как исключенные из проверки. Для этого нажмите правую кнопку мыши на файле или каталоге в окне просмотра результатов и выберите соответствующие пункты меню. Информация об изменении в помеченных каталогах или файлах не будет появляться в отчетах, но будет передаваться на проверку антивирусу-сканеру, если настроен режим взаимодействия.

• Мoжет ли ADinf32 кoнтpoлиpoвать сетевые диски? Hе мoжет. ADinf32 пpoвеpяет диски, читая их пo сектopам, пoэтoму oн мoжет пpoвеpять тoлькo лoкальные диски. Если нескoлькo машин oбъединены сетью, тo ADinf32 дoлжен быть устанoвлен на каждoй машине.

• Как переключить язык интерфейса ADinf32? Если у Вас установлен хотя бы один дополнительный модуль локализации (кроме английского), меню переключения языков находится в расширении системного меню главного окна. Чтобы открыть системное меню, кликните мышкой в маленькую иконку в левом верхнем углу главного диалога. При отстутствии установленных дополнительных языковых модулей меню переключения языков также отсутствует.

• Что такое ADinf32 Pro? ADinf32 Pro это специальная модификация ревизора, предназначенная для контроля целостности особо ценных данных, таких как документы или базы данных. Алгоритм LAN64 вычисляет 64-битную хэш-функцию, разработанную известной фирмой ЛАН Крипто. Эта функция гарантирует невозможность модификации данных без изменения значения хэш-функции. Для стандартных функций CRC16 и CRC32 существуют алгоритмы, позволяющие вычислить дополнительные байты, обеспечивающие неизменность хэш-функции при модификации файла. Таким образом, эти функции можно использовать для контроля за случайными ошибками, но они не обеспечивают надежную защиту от модификации данных злоумышленником. Алгоритм хэш-функции LAN64 гарантирует невозможность вычисления дополнительных байтов способом, отличным от прямого перебора. Однако прямой перебор для 64-битной хэш-функции потребует вычислений в течение тысячелетий. Стандартная версия ADinf32 может быть преобразована в Pro с помощью специального ключа.