|
|
From: Kaspersky Lab <Kaspersky.Lab@f156.n5020.z2.fidonet.org>
Date: Wed, 12 Jul 2000 11:48:00 +0400
Area: fido7.avp.support
ЧаВо: Попытка ответа на ЧАсто задаваемые ВОпросы. Часть 2/6
Тема: Особенности версий AVP и их отличия.
Версия: 2.0.0 от 10-FEB-2000
Источники: Документация к AVP, Вирус-лист AVP, система подсказок ("F1"),
"Вирусная Энциклопедия", собственный опыт.
Автор: Андрей Сатин
Адрес для контактов: avp.support@f1-help.net, 2:5020/1375.777, /156.77
---------------------------------------------------------------------------
Q. Версии AVP.
A. На сегодняшний день AVP существует для всех основных операционных
систем INTEL x86, в виде отдельного продукта появился AVP для MS Office
2000 (подробнее о нем - ниже), ведутся разработки AVP для FireWall'ов,
систем управления сообщениями, а разработка AVP для MS Exchange уже
завершена. Все версии AVP используют общие базы, 32-разрядные версии AVP
используют единое ядро, интерфейсные части написаны с учетом особенностей
конкретных операционных сред. AVP для Windows 9x/NT имеет значок "Designed
for Windows 95/98/NT" фирмы Microsoft, тестирование на совместимость с
новыми операционными системами Windows 2000 фирмой Microsoft еще не
проводилось.
В настоящий момент прекращена разработка новых версий для Windows 3.xx в
связи с тем, что эта оболочка перестала быть актуальной и фирма Microsoft
прекратила поддержку этой операционной среды. Также прекращены работы над
версией AVP для DOS с оконным интерфейсом. 32-разрядная версия AVP для DOS
в настоящее время не является самостоятельным продуктом и поставляется в
составе Win32 версий AVP, а также может входить в состав
многопользовательских Лицензий. 16-разрядная версия для DOS (AVPLite)
распространяется совершенно бесплатно.
---------------------------------------------------------------------------
Q. Версии AVP для рабочих станций Windows.
A. Разница между версиями AVP Gold и AVP Platinum заключается в СЕТЕВЫХ
возможностях и позиционировании на рынке. Не надо искать в версии Platinum
каких-то особенных возможностей, которых нет в Gold. Версия AVP Gold НЕ
ПОСТАВЛЯЕТСЯ в виде многопользовательских лицензий и существует только в
коробках (Лицензия на одного пользователя). Версия AVP Platinum, наоборот,
НЕ ПОСТАВЛЯЕТСЯ в коробках, а существует в виде многопользовательских
лицензий. Единственное функциональное отличие этих версий заключается в
интеграции Центра Управления AVP Platinum с Сетевым Центром Управления, т.е
в тех функциях, которые не могут быть востребованы отдельной рабочей
станцией. По сути, эти версии полностью идентичны, различия касаются
содержания "Лицензии" и ключевого файла.
Для обычного, "домашнего" пользователя достаточно версии AVP Gold. Для
установки в сети с последующим централизованным администрированием
необходима версия AVP Platinum. AVP Network Control Center, который
является ОТДЕЛЬНЫМ продуктом и поставляется в составе
МНОГОПОЛЬЗОВАТЕЛЬСКИХ лицензий, обеспечивает доступ Администратора к
настройкам всех модулей AVP клиентских станций. Кроме этого, обладатели
Лицензий AVP Platinum получают КРУГЛОСУТОЧНУЮ поддержку по телефонам
"горячей линии" Лаборатории Касперского.
---------------------------------------------------------------------------
Q. Отличия "билдов" AVP: 118, 119, 120.... 131, 132.
A. Основные отличия между билдами заключаются в исправлении замеченных
ошибок, доработке интерфейса, добавлении новых функций и изменении состава
компонентов. Например, со 131-го билда в состав AVP Gold и Platinum входит
сканер для DOS32, со 129-го планировщик, немногим раньше - Центр
Управления. Из новых функций - исключение по маске, создание списка
вирусов (точнее - списка записей в антивирусных базах), механизм
обновления баз... Каждый билд хоть чем-то, но отличается от своего
предшественника. Но не только по этой причине необходимо использовать
более "свежие" билды, есть причина более существенная. Связана она с тем,
что выход КУМУЛЯТИВНОГО обновления зачастую связан с глобальной
переработкой ядра AVP и поэтому "привязывается" к выпуску нового билда.
По этой причине "новые" базы могут некорректно работать со "старыми"
билдами. Разработчики в сопроводительных README-файлах это явно указывают.
Поэтому я рекомендую перед подключением нового кумулятивного обновления
баз ВНИМАТЕЛЬНО прочитать README из комплекта поставки.
---------------------------------------------------------------------------
Q. Лечение. В DOS или в Windows?
A. С некоторыми оговорками можно сказать, что нет особенной разницы при
лечении из среды DOS или из среды Win32. Windows-версии не ограничены в
использовании памяти, имеют удобный интерфейс. Единственным, пожалуй,
ограничением для запуска Win32-версии AVP является сильное поражение
системы, при котором даже запуск Windows невозможен. В этом случае
спасение только в загрузке антивируса из "чистого DOS". Возможно также
заражение системы вирусом, резидентная часть которого пытается уничтожить
саму антивирусную программу, или испортить данные при попытке запуска
антивируса (Win95.SK).
Для лечения "блокированных" объектов в Windows используется метод, при
котором вылеченные копии файлов, заблокированных системой или другими
процессами Windows, сохраняются на диск с другими именами, а после рестарта
системы зараженные объекты заменяются их вылеченными копиями. Этот метод
используется только Windows-версиями AVP, по этой причине нецелесообразно
запускать DOS-версии AVP в окне Windows для лечения.
Для запуска DOS-версий AVP на лечение необходим режим "чистого" DOS.
Существует несколько методов запуска AVP для DOS, со своими плюсами и
минусами. Ниже подробно описан метод запуска AVPLite, другие способы
описаны вкратце.
---------------------------------------------------------------------------
Q. AVPLite на загрузочной дискете.
A. Для создания загрузочного комплекта дискет нужно на первую дискету с
системой (DOS, Windows 95, Windows 98 и т.д.) поместить AVPLite для DOS16
(AVPLITE.EXE, AVP.OVL, AVP.LNG, AVP.KEY), файлы AVP.VND и AVP.SET. На
следующую дискету пишутся антивирусные базы (на вторую, третью, и т.д.).
Необходимо помнить, что базы будут грузиться в порядке, заданном в файле
AVP.SET, поэтому и размещать на дискетах их надо соответственно.
Порядок ФИЗИЧЕСКОГО расположения баз в каталоге, откуда они считываются
не имеет значения, т.к. вне зависимости от расположения, базы
считываются и загружаются в память в порядке, указанном в SET-файле.
Если при попытке считывания очередной базы она не обнаружена на дискете,
программа будет просить вставить следующую до тех пор, пока требуемая база
не будет найдена и загружена. Этот механизм позволяет разместить базы на
любом количестве дискет, ограничения накладываются только объемом доступной
оперативной памяти. После загрузки всех баз AVPLite проверяет свою
целостность. Если он не найден на последней дискете с базами, на экран
будет выдано сообщение об ошибке.
Не забудьте о нескольких весьма значительных нюансах:
1. Для чтения дисков с FAT32 дискета должна быть от соответствующей
операционной системы (Windows 95 OSR2, Windows 98). Для чтения NTFS тоже
существуют свои методы, описание которых выходит за рамки данного FAQ.
2. Базы грузятся в XMS, поэтому для загрузки баз необходимо использовать
соответствующий менеджер памяти, например HIMEM.SYS.
3. Для доступа к файлам и папкам с русскими именами необходимо правильно
настроить поддержку 866-ой кодовой страницы, т.е. включить в CONFIG.SYS
директиву "Country=".
Примеры файлов автозагрузки:
config.sys
device=himem.sys
dos=high,noauto
devicehigh=display.sys con=(ega,,1) // драйвер экрана
country=007,866,a:\country.sys
autoexec.bat
@echo off
lh mode con codepage prepare=((866) a:\ega3.cpi) // загрузка шрифтов
lh mode con codepage select=866 // включение режима
lh keyb ru,,a:\keybrd3.sys // драйвер клавиатуры
set TEMP=c:\
path=a:\;
avplite *:
Можно обойтись и без загрузки остальных модулей поддержки кириллицы
(драйверы экрана и клавиатуры), закомментировав (REM) указанные строки.
Экономия составит еще около 20 Кб памяти! Только не забудьте изменить ключ
языкового интерфейса AVP на английский (/LE). Рекорд освобожденной памяти -
601 Кб (615 232 байт).
На сегодняшний день (10 февраля 2000 года) при ВСЕХ подключенных базах,
но при отключенной поддержке кириллицы все работает. При необходимости
работы с русским интерфейсом, в SET-файле необходимо отключить загрузку
неактуальных баз (способ объяснен ниже).
---------------------------------------------------------------------------
Q. Использование альтернативного *.SET-файла.
A. Для экономии используемых ресурсов при загрузке баз рекомендуется
использовать альтернативный *.SET-файл (например TEST.SET), чтобы не
нарушить структуру "основного" файла. Дело в том, что Win32-версии AVP
проверяют целостность AVP.SET при загрузке и выдают предупреждение об
изменении этого файла. При старте AVPLite в условиях жесткой экономии
памяти приходится ограничивать загрузку некоторых баз.
Вы можете закомментировать ту или иную строку, поставив в начале ";" -
точку с запятой, отключая загрузку тех баз, которые в данный момент не
нужны, или в ДАННЫХ УСЛОВИЯХ не будут работать.
Как было сказано выше, некоторые базы могут быть отключены для того, чтобы
хватило памяти на загрузку других баз. Например, отключение загрузки базы
MAIL.AVC приведет к невозможности сканирования почтовых баз, а отключение
загрузки базы EXTRACT.AVC приведет к невозможности сканирования архивов.
Это вполне логично, если учесть, что проверка АРХИВОВ и ПОЧТЫ может быть
проведена дополнительно в более комфортных условиях, а вирус из архива или
почтового сообщения (если он там есть) самостоятельно не сможет перехватить
управление и заразить систему. Конечно, существуют и самораспаковывающиеся
архивы, и с ними надо быть особенно осторожными. База EICAR.AVC занимает
мизерный объем, но нужна только для детектирования ОДНОГО тестового вируса,
и в списке кандидатов на отключение она - самая первая.
Пример командной строки:
AVPLITE *: /Y /K /Z /T=C:\ /SET=TEST.SET
Дополнительные драйвера (CD, сеть, прочие) в таких условиях грузить
необязательно.
---------------------------------------------------------------------------
Q. Другие способы запуска DOS версий AVP.
A. Описанный выше способ запуска AVPLite (а в будущем - и AVPDOS32) не
является единственным, но позволяет проверить систему, в которой AVP НЕ
УСТАНОВЛЕН. Антивирусные базы не являются исполняемыми файлами и не могут
быть заражены вирусами (хотя нельзя исключать возможности ПОРЧИ баз
вирусом), а исполняемые модули AVP имеют встроенную процедуру
самоконтроля и восстановления в случае заражения. Поэтому в ИДЕАЛЬНОМ
случае достаточно иметь ЗАВЕДОМО ЧИСТУЮ системную дискету, загрузившись с
которой можно проверить систему запуском AVP (в том числе и AVPDOS32) из
"родного" каталога на жестком диске. Доступная сейчас 32-разрядная версия
AVP для DOS не может загружать базы с нескольких дискет. Для запуска
AVPDOS32 можно использовать виртуальный диск, скопировав на него базы и
исполняемые модули с настройками, можно использовать возможность старта
системы со съемного носителя, такого как ZIP или LS-120, можно создать
загрузочный CD ROM. Не надо исключать и возможность копирования баз и
модулей с дискет на жесткий диск, хотя некоторые эксперты утверждают, что
будет потеряна возможность восстановления недавно удаленных данных. Хочу
заметить, что для восстановления таких данных необходимо воспользоваться
специальными программами, к которым никак нельзя отнести антивирус,
создающий в процессе своей работы большое количество временных файлов. В
заключение этой темы хочу напомнить, что запись загрузочной дискеты
необходимо осуществлять НА ЗАВЕДОМО ЧИСТОЙ И ПРОВЕРЕННОЙ СИСТЕМЕ.
© faqs.org.ru