\"/
\"/ \"/    

Tip: SCAN

Miloslav Blažek, ÚVT MU
Ročník III - číslo 3, leden 1993
Citace: M. Blažek. Tip: SCAN. Zpravodaj ÚVT MU. ISSN 1212-0901, 1993, roč. III, č. 3, s. 13-16.
Tematické zařazení: Bezpečnost, Programy, nástroje
 předchozí článek | následující článek 

Pro mnoho lidí se stalo synonymem pro antivirový prostředek jméno SCAN. V souvislosti s tím se vžily i novotvary jako "oskenovat" či "vyskenovat" disk a podobně. Podívejme se nyní blíže na produkt, jenž se stal tak oblíbeným.

SCAN je představitel antivirových programů určených k vyhledávání a odhalování virů. Tyto prostředky pracují s databází tzv. charakteristických řetězců známých virů. Charakteristickým řetězcem se rozumí určitá posloupnost slabik (instrukcí), která je v programovém kódu viru vždy obsažena. Vlastní činnost antivirového programu pak spočívá ve vyhledávání charakteristických řetězců v místech pravděpodobného výskytu virů (paměť, boot sektor, tělo spustitelných programů).

Prostředky třídy SCAN jsou velmi výkonné a spolehlivé, i když trpí určitými nedostatky.

Jednak může být náhodná posloupnost slabik omylem zaměněna za charakteristický řetězec viru. Tomuto omylu lze snadno předcházet dostatečnou délkou testovaného řetězce a prakticky k němu nedochází.

Závažnější je skutečnost, že program nerozpozná virus, který dosud nemá uložen v databázi. K tomu může dojít zejména se vznikem nových nebo mutací stávajících virů.

Kvalitu antivirových prostředků této kategorie je tedy třeba posuzovat nejen podle rychlosti práce, poskytovaných funkcí a rozsahu databáze virů, ale též podle možností aktualizace této databáze.

Program SCAN je jako "shareware" produkt distribuován firmou McAfee Associates. Je možno si jej nechat zaslat přímo firmou nebo získat na některém z četných serverů v síti po světě.

Přibližně jedenkrát měsíčně je dána k dispozici nová verze s aktualizovanou databází. Poslední dostupná verze má označení SCANV99 a pochází ze dne 16.11.1992. Rozpoznává 865 typů virů, resp. 1561 jejich variant.

Nejbližší uzel, kde je možno získat aktuální verzi prostřednictvím anonymous ftp, se nachází v ÚVT a má adresu ftp.ics.muni.cs . Nejbližší "světový" server poskytující SCAN je trickle@awiwuw11 ve Vídni.

Co je distribuováno

Programový balík SCANu ve skutečnosti obsahuje kromě vlastního programu SCAN též celou řadu dalších produktů. Je distribuován zpravidla ve formě tří archivů - SCAN*.ZIP, CLEAN*.ZIPVSHLD*.ZIP (hvězdička představuje příponu označující příslušnou verzi). Význam souborů v archivech je následující:

AGENTS.TXT
seznam agentů (distributorů) McAffee Associates
CHKSHLD.EXE
testuje, zda je v paměti přítomen rezidentní program VSHIELD
CLEAN.EXE
odstraňuje viry nalezené programem SCAN.EXE
CLEAN99.DOC
příručka programu CLEAN
COMPUSER.NOT
poznámky k (placené) online-konzultační službě CompuServe poskytované McAffee Associates
LICENSE.DOC
licenční podmínky pro používání produktu
README.1ST
první stručná informace týkající se instalace a používání programů
REGISTER.DOC
návod a formulář pro oficiální registraci uživatele produktu
SCAN.EXE
program pro vyhledávání virů na disku a v operační paměti
SCAN99.DOC
příručka programu SCAN
VALIDATE.COM
program, který vypočítá a vypíše pro zadaný soubor CRC; tato informace slouží pro porovnání s podobnou dříve zaznamenanou a k odhalení případných změn v souborech
VALIDATE.DOC
příručka VALIDATE.COM
VIRLIST.TXT
popis virů známých programům SCAN.EXECLEAN.EXE
VSHIELD.EXE
paměťově rezidentní program, který testuje všechny spouštěné programy na virovou nákazu
VSHIELD1.EXE
jednodušší varianta VSHIELD.EXE
VSHLD99.DOC
příručka programů VSHIELD, VSHIELD1CHKSHLD.EXE

Použití antivirových prostředků

Podívejme se teď podrobněji na způsob použití některých těchto antivirových prostředků.

VIRUSCAN (SCAN.EXE)

Nejjednodušší varianta spuštění programu je se jmény disků, adresářů nebo souborů, které mají být prověřovány; například

     SCAN A: C: D:

otestuje na přítomnost virů nejprve operační paměť a poté zaváděcí oblasti a všechny soubory .APP, .BIN, .COM, .EXE, .OV?, .PGM, .PIF, .PRG, .SWP, .SYS.XTP. V případě detekce viru upozorní vypsáním zprávy.

Klíče, které je možno zadávat programu SCAN:

\ ...  prověří pouze kořenový adresář a bootovací oblast
/? /H /HELP ...  vypíše návodnou obrazovku
/A ...  prohlédne všechny soubory, včetně datových
/AD ...  prohlédne všechny lokální (ne síťové) disky
/AF záznam ...  uloží kontrolní (10 slabik) a opravnou (52 slabik) informaci pro soubory .COM.EXE, boot-sector a master-boot-sector do souboru záznam; tuto informaci lze později využít pro detekci a odstranění virů; na základě této informace je SCAN schopen odhalit též modifikaci dat na disku novými viry
/AG seznam ...  připojí opravnou informaci přímo ke zkoumaným souborům (které jsou tímto prodlouženy o 52 slabik) s výjimkou těch, jejichž seznam je uveden v souboru seznam (například sebemodifikující programy); informace pro boot-sector, master-boot-sector a COMMAND.COM je uložena do skrytého souboru disk:\SCANVAL.VAL
/AV seznam ...  totéž co /AG, avšak ukládá opravnou informaci (10 slabik)
/BELL ...  pípne, kdykoliv nalezne virus
/CERTIFY ...  vypíše soubory, které nemají kontrolní informaci
/CF data ...  kontrola virů použitím opravné a kontrolní informace ze souboru data
/CHKHI ...  kontroluje 1MB operační paměti (normálně jen dolních 640 KB)
/CG ...  kontroluje kontrolní a opravnou informaci uloženou v souborech
/CV ...  kontroluje kontrolní informaci v souborech
/D ...  přepíše a vymaže infikované soubory
/DATE ...  uloží datum a čas posledního spuštění SCANu (viz /SHOWDATE)
/E .xxx .yyy ...  zpracuje soubory s příponami .xxx.yyy
/EXT databáze ...  použije vnější databázi virů uloženou v souboru databáze
/FAST ...  zjednoduší a zrychlí činnost SCANu (vynechává zkomprimované soubory LZEXE-PKLITE-, vyšetřuje pouze část vykonávatelných programů
/HISTORY text ...  připojí hlášení k souboru text
/M ...  normálně vyhledává v operační paměti pouze 142 nejnebezpečnějších virů, s klíčem /M všechny viry; použití /M může vyvolat planý poplach
/MAINT ...  projde i vadné disky a diskety
/MANY ...  ošetří skupinu disket vkládaných postupně do jednotky
/NLZ ...  vynechá zkomprimované LZEXE- soubory
/NOBREAK ...  ignoruje klávesy <Ctrl>-<C><Ctrl>-<Break>, které normálně způsobí přerušení činnosti
/NOEXPIRE ...  potlačí hlášení o zastaralé verzi SCANu
/NOMEM ...  potlačí test paměti
/NOPAUSE ...  normálně program zastaví po zaplnění obrazovky, pokud obsahuje nějakou důležitou informaci (o viru); tento klíč zastavení potlačí
/NPKL ...  vynechá zkomprimované PKLITE- soubory
/REPORT text ...  viz /HISTORY
/RG ...  odstraní kontrolní a opravnou informaci z určených souborů
/RV ...  odstraní kontrolní informaci z určených souborů
/SAVE ...  specifikované klíče se stanou novou implicitní (automatickou) volbou; modifikuje samotný SCAN.EXE
/SHOWDATE ...  vypíše datum a čas posledního spuštění SCANu s klíčem /DATE
/SUB ...  projde podadresáře specifikovaného adresáře
/UNATTEND ...  přeskočí soubory současně používané jiným programem (vyžadováno pod Windows a OS/2)
@dávka ...  použije klíče ze souboru dávka

CLEAN-UP (CLEAN.EXE)

je dezinfekční prostředek, který odstraňuje viry rozpoznané programem SCAN.EXE z bootovacích oblastí disku a napadených souborů. Dokáže odstranit 100 virů v řadě modifikací.

CLEAN uvede nakažené soubory a systémové datové struktury ve většině případů do stavu, v jakém byly před napadením virem. Někdy to ovšem není možné, v důsledku čehož mohou přestat pracovat některé .EXE programy. V nekonzistentním stavu může zůstat též např. tabulka diskových oblastí (master-boot-sector), kterou je v takovémto případě třeba spravit pomocí Norton Utilities, Disk Manageru nebo podobného prostředku.

Před použitím programu je třeba znovu spustit počítač a zavést systém ze zaručeně nenapadené diskety. Poté je možno zadat příkaz

     CLEAN cesty virus klíče

kde

Příklad:

     CLEAN C:\DOS D:\TOOLS E: [JERU] /A
CLEAN A: [STONED]

Programový balíček SCANu obsahuje ještě další zajímavé prostředky pro boj s viry, jak bylo též uvedeno výše v přehledu distribuovaných souborů. Zájemce o jejich používání se s nimi jistě rád seznámí pročtením popisu v příslušných souborech.

Zpět na začátek
ÚVT MU, poslední změna 14.11.2011