Pro mnoho lidí se stalo synonymem pro antivirový prostředek jméno SCAN. V souvislosti s tím se vžily i novotvary jako "oskenovat" či "vyskenovat" disk a podobně. Podívejme se nyní blíže na produkt, jenž se stal tak oblíbeným.
SCAN je představitel antivirových programů určených k vyhledávání a odhalování virů. Tyto prostředky pracují s databází tzv. charakteristických řetězců známých virů. Charakteristickým řetězcem se rozumí určitá posloupnost slabik (instrukcí), která je v programovém kódu viru vždy obsažena. Vlastní činnost antivirového programu pak spočívá ve vyhledávání charakteristických řetězců v místech pravděpodobného výskytu virů (paměť, boot sektor, tělo spustitelných programů).
Prostředky třídy SCAN jsou velmi výkonné a spolehlivé, i když trpí určitými nedostatky.
Jednak může být náhodná posloupnost slabik omylem zaměněna za charakteristický řetězec viru. Tomuto omylu lze snadno předcházet dostatečnou délkou testovaného řetězce a prakticky k němu nedochází.
Závažnější je skutečnost, že program nerozpozná virus, který dosud nemá uložen v databázi. K tomu může dojít zejména se vznikem nových nebo mutací stávajících virů.
Kvalitu antivirových prostředků této kategorie je tedy třeba posuzovat nejen podle rychlosti práce, poskytovaných funkcí a rozsahu databáze virů, ale též podle možností aktualizace této databáze.
Program SCAN je jako "shareware" produkt distribuován firmou McAfee Associates. Je možno si jej nechat zaslat přímo firmou nebo získat na některém z četných serverů v síti po světě.
Přibližně jedenkrát měsíčně je dána k dispozici nová verze s aktualizovanou databází. Poslední dostupná verze má označení SCANV99 a pochází ze dne 16.11.1992. Rozpoznává 865 typů virů, resp. 1561 jejich variant.
Nejbližší uzel, kde je možno získat aktuální verzi prostřednictvím anonymous
ftp, se nachází v ÚVT a má adresu ftp.ics.muni.cs
.
Nejbližší "světový" server poskytující SCAN je trickle@awiwuw11
ve Vídni.
Programový balík SCANu ve skutečnosti obsahuje kromě vlastního programu
SCAN též celou řadu dalších produktů. Je distribuován zpravidla ve formě
tří archivů - SCAN*.ZIP
, CLEAN*.ZIP
a VSHLD*.ZIP
(hvězdička představuje příponu označující příslušnou verzi). Význam souborů
v archivech je následující:
AGENTS.TXT
CHKSHLD.EXE
VSHIELD
CLEAN.EXE
SCAN.EXE
CLEAN99.DOC
CLEAN
COMPUSER.NOT
LICENSE.DOC
README.1ST
REGISTER.DOC
SCAN.EXE
SCAN99.DOC
SCAN
VALIDATE.COM
VALIDATE.DOC
VALIDATE.COM
VIRLIST.TXT
SCAN.EXE
a CLEAN.EXE
VSHIELD.EXE
VSHIELD1.EXE
VSHIELD.EXE
VSHLD99.DOC
VSHIELD
, VSHIELD1
a CHKSHLD.EXE
Podívejme se teď podrobněji na způsob použití některých těchto antivirových prostředků.
Nejjednodušší varianta spuštění programu je se jmény disků, adresářů nebo souborů, které mají být prověřovány; například
SCAN A: C: D: |
otestuje na přítomnost virů nejprve operační paměť a poté zaváděcí
oblasti a všechny soubory .APP
, .BIN
, .COM
,
.EXE
, .OV?
, .PGM
, .PIF
, .PRG
,
.SWP
, .SYS
a .XTP
. V případě detekce viru
upozorní vypsáním zprávy.
Klíče, které je možno zadávat programu SCAN:
\ | ... | prověří pouze kořenový adresář a bootovací oblast |
/? /H /HELP | ... | vypíše návodnou obrazovku |
/A | ... | prohlédne všechny soubory, včetně datových |
/AD | ... | prohlédne všechny lokální (ne síťové) disky |
/AF záznam | ... | uloží kontrolní (10 slabik) a opravnou (52 slabik)
informaci pro soubory .COM a .EXE , boot-sector
a master-boot-sector do souboru záznam; tuto
informaci lze později využít pro detekci a odstranění virů;
na základě této informace je SCAN schopen odhalit též modifikaci
dat na disku novými viry |
/AG seznam | ... | připojí opravnou informaci přímo ke zkoumaným souborům (které jsou
tímto prodlouženy o 52 slabik) s výjimkou těch, jejichž
seznam je uveden v souboru seznam (například
sebemodifikující programy); informace pro boot-sector,
master-boot-sector a COMMAND.COM je uložena
do skrytého souboru
disk: \ SCANVAL.VAL |
/AV seznam | ... | totéž co /AG , avšak ukládá opravnou informaci
(10 slabik) |
/BELL | ... | pípne, kdykoliv nalezne virus |
/CERTIFY | ... | vypíše soubory, které nemají kontrolní informaci |
/CF data | ... | kontrola virů použitím opravné a kontrolní informace ze souboru data |
/CHKHI | ... | kontroluje 1MB operační paměti (normálně jen dolních 640 KB) |
/CG | ... | kontroluje kontrolní a opravnou informaci uloženou v souborech |
/CV | ... | kontroluje kontrolní informaci v souborech |
/D | ... | přepíše a vymaže infikované soubory |
/DATE | ... | uloží datum a čas posledního spuštění SCANu
(viz /SHOWDATE ) |
/E .xxx .yyy | ... | zpracuje soubory s příponami .xxx a .yyy |
/EXT databáze | ... | použije vnější databázi virů uloženou v souboru databáze |
/FAST | ... | zjednoduší a zrychlí činnost SCANu (vynechává zkomprimované soubory
LZEXE- a PKLITE- , vyšetřuje pouze část
vykonávatelných programů |
/HISTORY text | ... | připojí hlášení k souboru text |
/M | ... | normálně vyhledává v operační paměti pouze
142 nejnebezpečnějších virů, s klíčem /M všechny
viry; použití /M může vyvolat planý poplach |
/MAINT | ... | projde i vadné disky a diskety |
/MANY | ... | ošetří skupinu disket vkládaných postupně do jednotky |
/NLZ | ... | vynechá zkomprimované LZEXE- soubory |
/NOBREAK | ... | ignoruje klávesy <Ctrl>-<C>
a <Ctrl>-<Break> , které normálně způsobí
přerušení činnosti |
/NOEXPIRE | ... | potlačí hlášení o zastaralé verzi SCANu |
/NOMEM | ... | potlačí test paměti |
/NOPAUSE | ... | normálně program zastaví po zaplnění obrazovky, pokud obsahuje nějakou důležitou informaci (o viru); tento klíč zastavení potlačí |
/NPKL | ... | vynechá zkomprimované PKLITE- soubory |
/REPORT text | ... | viz /HISTORY |
/RG | ... | odstraní kontrolní a opravnou informaci z určených souborů |
/RV | ... | odstraní kontrolní informaci z určených souborů |
/SAVE | ... | specifikované klíče se stanou novou implicitní (automatickou) volbou; modifikuje samotný SCAN.EXE |
/SHOWDATE | ... | vypíše datum a čas posledního spuštění SCANu s klíčem
/DATE |
/SUB | ... | projde podadresáře specifikovaného adresáře |
/UNATTEND | ... | přeskočí soubory současně používané jiným programem (vyžadováno pod Windows a OS/2) |
@ dávka | ... | použije klíče ze souboru dávka |
je dezinfekční prostředek, který odstraňuje viry rozpoznané programem
SCAN.EXE
z bootovacích oblastí disku a napadených souborů.
Dokáže odstranit 100 virů v řadě modifikací.
CLEAN uvede nakažené soubory a systémové datové struktury ve většině
případů do stavu, v jakém byly před napadením virem. Někdy to ovšem
není možné, v důsledku čehož mohou přestat pracovat některé .EXE
programy. V nekonzistentním stavu může zůstat též např. tabulka diskových
oblastí (master-boot-sector), kterou je v takovémto případě třeba spravit
pomocí Norton Utilities, Disk Manageru nebo podobného prostředku.
Před použitím programu je třeba znovu spustit počítač a zavést systém ze zaručeně nenapadené diskety. Poté je možno zadat příkaz
CLEAN cesty virus klíče |
kde
[Jeru]
), a/A | ... | procházení všech souborů |
/E .xxx .yyy | ... | projde soubory s příponami .xxx .yyy |
/GENERIC | ... | ze systémových oblastí odstraní neznámé viry na základě
opravné informace uložené ještě před virovou nákazou SCANem
s klíčem /AG |
/GRF data | ... | odstraní neznámé viry ze souborů a systémových
oblastí disku na základě opravné informace uložené dříve
SCANem s klíčem /AF do souboru data |
/MAINT | ... | práce s vadnými médii |
/MANY | ... | kontrola více disket |
/NOEXPIRE | ... | potlačí zprávu o expiraci používané verze |
/NOPAUSE | ... | potlačí zastavování po stránkách |
/REPORT text | ... | připojuje hlášení programu do souboru text |
Příklad:
CLEAN C:\DOS D:\TOOLS E: [JERU] /A |
Programový balíček SCANu obsahuje ještě další zajímavé prostředky pro boj s viry, jak bylo též uvedeno výše v přehledu distribuovaných souborů. Zájemce o jejich používání se s nimi jistě rád seznámí pročtením popisu v příslušných souborech.