Rezidentní driver AVGSYS.EXE

Rezidentní driver AVGSYS.EXE

Rezidentní driver AVGSYS.EXE zajišťuje v prostředí operačního systému MS–DOS tzv. "rezidentní ochranu". Program je po svém spuštění stále přítomný v operační paměti a kontroluje operace prováděné s disketovou mechanikou a se soubory. V případě, že zjistí pokus o práci s disketou nebo souborem, napadené virem, zastaví činnost počítače a informuje uživatele.

Instalace a spuštění driveru

Během instalace je upraven soubor CONFIG.SYS tak, že obsahuje příkaz pro start driveru AVGSYS – příkaz DEVICE=\adresář\AVGSYS.EXE <parametry>. Od okamžiku instalace se tedy driver AVSGYS.EXE startuje automaticky, bezprostředně po startu počítače.

Upozornění :

Instalační program analyzuje obsah souboru CONFIG.SYS a umisťuje příkaz pro start driveru AVGSYS až po startu programu–driveru, který zajišťuje na počítači paměť typu XMS – většinou se jedná o program HIMEM.SYS.

Pokud program pro vytvoření paměti XMS na svém počítači nemáte, nebo driver AVGSYS.EXE startujete ještě před vytvořením této paměti, nebude AVGSYS.EXE moci tuto paměť používat a nebude schopen provádět kontrolu boot sektoru disket vložených do mechaniky A: – tj. parametr /BOOT+ (viz níže).

Pokud jste pokročilejšími uživateli, můžete příkazové řádce v souboru CONFIG.SYS, která inicializuje driver AVGSYS.EXE věnovat trochu pozornosti. Můžete také vyzkoušet umístění driveru do horní paměti.

Driver AVGSYS.EXE disponuje řadou kontrolních funkcí. Každou z těchto kontrol je možné zapnout nebo vypnout. Aktivace jednotlivých parametrů je realizována doplněním přepínačů do příkazové řádky v souboru CONFIG.SYS, ve které je driver AVGSYS.EXE inicializován.

Pokud při startu driveru nění některý z parametrů uveden, je nastavena jeho implictní hodnota.Během práce s počítačem je také možné měnit nastavení parametrů driveru AVGSYS.EXE.

Základními parametry, ovlivňujícími vlastní typ instalace driveru jsou:

/AXMS+ /AXMS–

Určuje, zda driver smí používat paměť XMS. Je samozřejmé, že pokud chcete použít nastavení /AXMS+, je nutné mít již zpřístupněnou paměť typu XMS (např. pomocí driveru HIMEM.SYS).

Pokud není XMS paměť k dispozici, nebo její použití zakážete přepínačem /AXMS–, bude driver jako pracovní oblasti využívat pevný disk. Použití pevného disku namísto paměti XMS má obecně tyto důsledky: pomalejší provádění testů a nemožnost vykonávání vyhledávacích funkcí prováděných parametrem /BOOT.

Prostředí:	DOS i WINDOWS 3.11
Implicitně:	/AXMS+
Doporučeno:	/AXMS+
Lze použít:	pouze v souboru CONFIG.SYS

/MESG+ /MESG–

Určuje, zda driver AVGSYS má vypisovat v prvním řádku obrazovky průběžná hlášení o právě prováděných testech. Toto nastavení se samozřejmě netýká případů, kdy je zjištěn virus, či podobná závažná událost – takové hlášení je vypsáno vždy. Omezení průběžných výpisů na obrazovku je automaticky provedeno také, pokud uživatel pracuje s grafickou aplikací.

Prostředí: 	DOS
Implicitně: 	/MESG+
Doporučeno: 	/MESG+
Lze použít:	CONFIG.SYS a kdykoliv z příkazového řádku

/BEEP+ /BEEP–

Určuje, zda se má používat při významných událostech zvukové signalizace.

Prostředí:	DOS i WINDOWS 3.11
Implicitně:	/BEEP+
Doporučeno:	/BEEP+
Lze použít:	CONFIG.SYS a kdykoliv z příkazového řádku

/FWRI+ /FWRI–

Nastavuje kontrolu otevření souboru COM/EXE pro zápis. V případě, že je použit přepínač /FWRI+, a dojde k pokusu o otevření souboru typu COM/EXE pro zápis, zastaví driver AVGSYS.EXE činnost počítače a požaduje potvrzení na uživateli. jako odpověď je možné použít volbu:

Ano – uživatel povoluje otevření souboru
Ne– soubor nebude otevřen pro zápis
Vždy – stejný efekt jako Ano až do konce programu nebo s časovým omezením cca 60 vteřin. Po tuto dobu, nebo pokud program do té doby skončí, budou implicitně povoleny všechny pokusy o otevření souboru COM/EXE pro zápis.

Prostředí:	DOS i WINDOWS 3.11
Implicitně:	/FWRI–
Doporučeno:	/FWRI+, pokud nepoužíváte software, 
který otevírá často COM/EXE soubory pro zápis.
Lze použít:	CONFIG.SYS a z kdykoliv příkazového řádku

/DWRI+ /DWRI–

Nastavuje kontrolu zápisu do systémových oblastí pevného disku nebo disket. V případě, že dojde k pokusu o zápis do těchto oblastí, vypíše driver AVGSYS varovné hlášení a požaduje potvrzení na uživateli. Je možno použít tyto volby:

Ano – zápis do systémových oblastí bude povolen
Ne – zápis do systémových oblastí nebude povolen – procesu, který tento požadavek vyslal, se vrátí chybový kód.
Ignoruj – zápis nebude povolen. Procesu, který požadavek zápisu vydal, se však vrátí bezchybný status – jako by operace byla provedena.

Prostředí:	DOS i WINDOWS 3.11
Implicitně:	/DWRI–
Doporučeno:	/DWRI+
Lze použít:	CONFIG.SYS a z příkazového řádku

/SCAN+ /SCAN–

Nastavuje antivirovou kontrolu spouštěného souboru. V případě, že se pokusíte spustit program, který je napaden známým virem, zastaví driver AVGSYS.EXE chod počítače, vypíše varovné hlášení a požadavek spuštění zruší.

Prostředí:	DOS i WINDOWS 3.11
Implicitně:	/SCAN–
Doporučeno:	/SCAN+
Lze použít:	CONFIG.SYS a z příkazového řádku

/RENM+ /RENM–

Nastavuje kontrolu přejmenování souborů COM/EXE. V případě pokusu o přejmenování souboru typu COM/EXE se vypíše varovné hlášení a požaduje se potvrzení od uživatele. Možné volby jsou následující:

Ano – přejmenování je povoleno
Ne – přejmenování není povoleno

Prostředí:	DOS i WINDOWS 3.11
Implicitně:	/RENM–
Doporučeno:	/RENM+
Lze použít:	CONFIG.SYS a z příkazového řádku

/BOOT+ /BOOT–

Nastavuje antivirovou kontrolu boot sektoru disket založených v mechanice A: počítače. Při přístupu na disketu prověřuje driver AVGSYS boot sektor této diskety. V případě, že disketa obsahuje virus, je vypsáno varovné hlášení a uživatel musí disketu vyjmout z mechaniky.

Připomínáme, že driver tímto způsobem kontroluje pouze mechaniku A: – tedy mechaniku, která je důležitá z virového pohledu.

Funkci /BOOT+ není možné použít, pokud driver AVGSYS.EXE nepoužívá paměť XMS (paměť není k dispozici nebo je její použití zakázáno příkazem /AXMS–).

Prostředí:	DOS i WINDOWS 3.11
Implicitně:	/BOOT–
Doporučeno:	/BOOT+
Lze použít:	CONFIG.SYS a z příkazového řádku

/OPEN+ /OPEN–

Určuje, zda se má provádět antivirový test na otevírané soubory. Driver AVGSYS tak dokáže např. kontrolovat kopírované soubory, zda neobsahují virus. Je nutné si však uvědomit, že kopírování souboru v prostředí operačního systému MS–DOS lze realizovat různými technikami a některé z nich otevření souboru neprovádějí – tj. funkce /OPEN+ je nedokáže zachytit.

Prostředí:	DOS i WINDOWS 3.11
Implicitně:	/OPEN–
Doporučeno:	/OPEN–
Lze použít:	CONFIG.SYS a z příkazového řádku

/WARM+ /WARM–

Nastavuje kontrolu klávesnice. V případě, kdy je tato kontrola zapnuta a uživatel použije kombinaci kláves CTRL+ALT+DEL, zkontroluje driver AVGSYS disketovou mechaniku A:. Pokud je v této mechanice založena disketa, je uživatel vyzván k vyjmutí diskety.

Upozornění:

Parametr /WARM+ nebude pracovat, pokud je po instalaci AVGSYS.EXE zaveden program KEYB.COM nebo jiný program, který má vlastní kontrolu nad klávesnicí.

Prostředí:	parametr lze použít v prostředí DOS.
V prostředí WINDOWS je kontrola kláves CTRL+ALT+DEL zabezpečována přímo systémem WINDOWS.
Implicitně:	/WARM–
Doporučeno:	/WARM+
Lze použít:	CONFIG.SYS a z příkazového řádku

/GRWR+ /GRWR–

Určuje, zda má driver AVGSYS.EXE v případě zjištění významných událostí právo psát do obrazovky právě aktivní grafické aplikace. Připomínáme, že driver využívá pro svůj výpis zcela první řádek na obrazovce a že nemá možnost jako po svém výpisu v grafickém režimu obnovit původní obsah tohoto prvního řádku. V prostředí WINDOWS 3.11 je činnost parametru /GRWR omezena pouze na okno DOSové aplikace. V případě, že aplikace běžící v DOSovém okně je v textovém režimu, jsou výpisy prováděny do tohoto okna normálním způsobem. Pokud aplikace v DOSovém okně pracuje v grafickém režimu, rozhoduje o výpisu do tohoto okna právě nastavení parametru /GRWR.

Prostředí:	parametr lze použít v prostředí DOS.
V prostředí WINDOWS ovlivňuje pouze režim chování DOSového okna.
Implicitně:	/GRWR–
Doporučeno:	/GRWR+
Lze použít:	CONFIG.SYS a z příkazového řádku

/NETW+

Slouží k zpřístupnění síťových zařízení pro funkce /SCAN, /OPEN, /FWRI. Pokud je driver startován před aktivací sítě, nebude schopen kontrolovat podle výše uvedených parametrů soubory uložené na síťových zařízeních. Poté, co aktivujete síť, doporučujeme znovu zavolat driver AVGSYS s parametrem /NETW+. Tím se zajistí že kontroly se budou provádět i na síťových zařízeních.

Lze použít:	pouze z příkazového řádku po provedení vlastní
inicializace sítě – spuštění síťových driverů.

/TUNN+ /TUNN–

Provádí kontrolu „tunelování“ přerušení INT21 a INT13. Některé viry se pokouší o krokování obsluhy těchto systémových funkcí tak, aby získaly adresu originální obsluhy těchto přerušení – obdoba anti–Stealth technik u AVG. Pokud je nastaven parametr /TUNN+, dokáže driver AVGSYS zachytit virus provádějící tuto operaci.

Prostředí:	DOS i WINDOWS
Implicitně:	/TUNN–
Doporučeno:	/TUNN+
Lze použít:	CONFIG.SYS a z příkazového řádku

Aktuální nastavení driveru a HELP

Seznam právě aktivních parametrů můžete získat tak, že zavoláte driver AVGSYS.EXE bez jakéhokoliv parametru.

Pokud zavoláte driver AVGSYS.EXE s parametrem /? nebo s chybným parametrem, bude na obrazovce vypsán seznam možných parametrů spolu s krátkým vysvětlením a s uvedením možného použití:

i – (inicializace) – možno uvést v souboru CONFIG.SYS.
m – (modifikace) – možno použít při pozdější změně voláním driveru z prostředí operačního systému.

Dotaz na nastavení driveru

Aktuální nastavení driveru je také možné testovat dávce. Spustíte–li program AVGSYS s parametrem /param?, získáte z hodnoty ERRORLEVEL (kterou vrací AVGSYS) informaci, zda je tento parametr nastaven či nikoliv.

ERRORLEVEL = 0 – parametr je nastaven
           = 1 – parametr není nastaven
           = 99 – driver AVGSYS není instalován

Například

AVGSYS.EXE /SCAN?

vrátí 0, pokud driver má nastaven parametr /SCAN+. Vrátí 1, pokud je nastaven parametr /SCAN– a hodnotu 99 pokud není driver instalován vůbec.

AVGSYS.EXE /SCAN? /BOOT?

vrátí 0, pokud jsou všechny parametry zapnuty. Vrátí 1, pokud některý z nich není zapnut a hodnotu 99, pokud není driver AVGSYS instalován vůbec.

Tohoto testování je možné s výhodnou využít např. v login scriptu při přihlašování do sítě, kdy nastavení driveru AVGSYS musí odpovídat požadavkům správce sítě. V opačném případě pak lze přihlášení do sítě zakázat.

Omezení driveru

Rezidentní driver je nutné chápat nikoliv jako samostatný antivirový systém zabezpečující plně spolehlivou ochranu přev průnikem viru, ale jako užitečnou pomůcku – doplněk ke kontrolnímu programu AVG.

Schopnosti detekce driveru vždy závisí na jeho nastavení. Pouhým zavedením driveru bez udání parametrů se provede pouze jeho instalace do paměti počítače – driver však neprovádí žádné kontrolní činnosti. Požadované kontroly musí být zapnuty – uvedením příslušných parametrů.

Driver AVGSYS.EXE spolupracuje s vlastní virovou databází, která obsahuje pouze vybranou podmnožinu těch virů, jejichž rozšíření je značné a které pro uživatele představují riziko. Obsah virové databáze driveru sestavuje výrobce programu a pravidelně ji aktualizuje prostřednictvím aktualizačních souborů.

Driver AVGSYS používá k detekci virů techniky tzv. virových identifikátorů – provádí tedy v podstatě antivirový test. Obsahuje také detekci prostřednictvím algoritmů na nejrozšířenější polymorfní viry. Není však v jeho možnostech provádět plnou heuristickou analýzu a nedokáže tedy podchytit skutečně složité, neznámé polymorfní viry.

Změna nastavení driveru

Zkušenější uživatelé si jistě všimli, že ačkoliv je soubor AVGSYS.EXE systémový driver, není jeho rozšíření typu SYS, jak je pro tyto soubory obvyklé. Jeho rozšíření (.EXE) naopak napovídá, že je možné jej také volat i později z prostředí operačního systému. Je tedy možné kdykoliv během práce libovolně zapnout nebo vypnout kteroukoliv z funkcí driveru AVGSYS.EXE podle momentální potřeby – kdykoliv lze například vypnout funkci pro kontrolu spouštěných souborů příkazem AVGSYS.EXE /SCAN– a opět ji kdykoliv pomocí příkazu AVGSYS.EXE /SCAN+ zapnout.

Je nutné si uvědomit, že přestože lze driver volat (spouštět) i z prostředí operačního systému, jeho start musí být proveden příkazem DEVICE ze souboru CONFIG.SYS.

Možné kolize se systémem

Driver AVGSYS byl vytvořen s ohledem na maximální kompatibilitu s ostatním software podobného typu. Nelze však zcela vyloučit možnost kolize s jiným, nestandardním software. Tato kolize vede k „zamrznutí“ počítače, které je o to nepříjemnější, že nastává při startu driveru – tedy přímo při startu počítače.

Driver AVGSYS verze 5.0 umožňuje potlačit svůj start z CONFIG.SYS. Pokud při provádění příkazů z CONFIG.SYS v okamžiku, kdy je zaváděn driver AVGSYS.EXE držíte stisknuté klávesy levý CTRL a levý ALT, nedojde k rezidentnímu umístění driveru do paměti – výsledný efekt je stejný, jako by příkaz pro start driveru v souboru CONFIG.SYS vůbec nebyl uveden.