Elektroniczny antybiotyk
Pakiet zawiera cztery dyskietki, po jednej dla systemów DOS, Windows 3.1, Windows 95 i Windows NT. Intencją jego twórców było zapewnienie skutecznej ochrony dla systemu i zabezpieczenie go przed infekcją. Nie zabrakło w nim jednak programów, których zadaniem jest usunąć wirusa, jeżeli ten okaże się sprytniejszy od NTBVC.
Wersja dla systemu DOS składa się z trzynastu programów. Najważniejsze moduły to TbSetup, TbScan i TbClean. Pierwszy z nich przegląda zawartość dysku i w każdym katalogu tworzy plik ANTI-VIR.DAT, w którym zapisuje m.in. sumy kontrolne dla wszystkich znajdujących się w nim plików wykonywalnych (a więc takich, poprzez które wirus rozmnaża się). Ma to pomóc w wykryciu "intruza", który zmieniając strukturę pliku spowoduje jego niezgodność z danymi zebranymi przez TbSetup.
 NTBVC to skanerem plikowy oraz monitor systemu |
TbScan jest skanerem antywirusowym i jednocześnie sztandarowym programem pakietu. Jego główne zalety to duża szybkość przeszukiwania zbiorów oraz nowoczesna, tzw. heurystyczna metoda skanowania plików. "Szperacz" potrafi przeanalizować kod pliku wykonywalnego i na tej podstawie (bezpośredni zapis danych na dysk, umieszczenie fragmentu kodu na stałe w pamięci itp.) wyrokować o infekcji. Dla zwiększenia szybkości pracy skanera symulacja wykonania instrukcji przeprowadzana jest tylko dla początkowej części zbioru. Nie zmniejsza to efektywności tego narzędzia, ponieważ filozofia działania wirusów polega na umieszczeniu przynajmniej ich części na początku zaatakowanego pliku. TbScan dobrze radzi sobie z odróżnianiem wirusów od programów, które w innym celu podejmują działania typowe dla "mikrobów" i nie wszczyna fałszywych alarmów. Wynika to ze statystyki narzuconej przez metodę heurystyczną. Jedna czy dwie instrukcje charakterystyczne dla wirusów nie świadczą jeszcze o zagrożeniu. Dopiero przekroczenie pewnego progu powoduje wygenerowanie ostrzeżenia. Przeszukiwanie może odbywać się na jednym z dwóch stopni wrażliwości. Poziom wysoki daje większą pewność wykrycia wirusa, ale też może powodować fałszywe alarmy. Poziom niski daje 50% szans, ale wówczas skaner prawie się nie myli. Rozwiązaniem jest opcja Auto rozpoczynająca przeszukiwanie na poziomie niskim i w przypadku stwierdzenia infekcji przechodząca na poziom wysoki wrażliwości. Skaner wykrywa także wirusy typu "makro" MS Worda. Producent zapewnia, że skuteczność metody heurystycznej wynosi 90% (na poziomie wysokim). Biorąc pod uwagę, że co miesiąc powstaje na świecie kilkadziesiąt nowych wirusów oraz że istnieją wirusy same modyfikujące swój kod i w ten sposób tworzące kolejne mutacje, zdolność NTBVC do "inteligentnej" detekcji komputerowych "mikrobów" jest jego wielką zaletą. Oprócz tego pliki są przeglądane w tradycyjny sposób, polegający na porównaniu ich zawartości z sygnaturami znanych wirusów. W aktualizowanej co miesiąc bazie znajduje się ok. 4000 pozycji. Dodatkowo w przypadku napotkania pliku ANTI-VIR.DAT program sprawdza, czy zapisana wcześniej suma kontrolna odpowiada drugiej - tym razem tworzonej "na bieżąco".
W przypadku wykrycia wirusa, z którym nie może sobie poradzić, skaner może automatycznie skasować podejrzany plik lub tylko zmienić jego rozszerzenie, aby po ponownym uruchomieniu komputera nie było możliwe załadowanie go i zarażenie kolejnych danych.
Użytkownik ma możliwość przeprowadzenia kontroli w szerokiej skali: ograniczonej do pojedynczego pliku lub katalogu albo rozszerzonej na kilka dysków. Raport ze skanowania może zostać zapisany w pliku do jego późniejszej analizy, a rodzaj i ilość zamieszczonych w nim informacji można uprzednio określić.
Rezydentny odpowiednik TbScan nosi nazwę TbScanX i na bieżąco skanuje pliki uruchamiane w toku pracy komputera, a także pliki kopiowane, dearchiwizowane i przesyłane np. z Internetu. Również TbCheck działa w tle i sprawdza każdy plik, który ma zostać uruchomiony, czyni to jednak pod kątem poprawności sumy kontrolnej oraz informacji zawartych w ANTI-VIR.DAT. W razie stwierdzenia niezgodności TbCheck może zablokować wykonanie podejrzanego pliku.
 Nowoczesny skaner heurystyczny pozwala na wykrycie jeszcze nieznanych wirusów |
Trzy kolejne moduły kontrolują aktualnie wykonywany program i stanowią zaporę dla wszelkich przejawów działalności wirusa. Gdy wywołany program próbuje pozostać w pamięci jako rezydentny, wówczas jest to sygnalizowane użytkownikowi przez moduł TbMem. Uniknięto pomyłki, jaką mogłoby powodować załadowanie np. sterownika myszy dla DOS: NTBVC "uczy się", jakie programy mogą pracować w tle i - raz uprzedzony - nie wyświetla więcej ostrzegawczych komunikatów. TbFile pilnuje, aby żaden program nie modyfikował innych plików wykonywalnych, a także uniemożliwia zmianę atrybutu "tylko do odczytu". Natomiast TbDisk wykrywa próby zapisu na dysku i jego formatowania z pominięciem funkcji systemu DOS. Programy, które mają bezpośredni dostęp do dysku, są wyszczególnione w ANTI-VIR.DAT i przez to nie powodują niepotrzebnych alarmów. Wszystkie rezydentne części pakietu NTBVC do poprawnej pracy wymagają modułu TbDriver, który zapewnia podstawową ochronę przed wirusami typu stealth (tzn. ukrywającym się przed typowym skanerem antywirusowym poprzez podanie mu prawidłowej części zarażonego pliku). A jeśli chcemy sprawdzić, jakie moduły pakietu są w danej chwili aktywne, możemy wywołać TbMon.
Do rekonstrukcji uszkodzonych zbiorów lub nosicieli wirusów przydatny jest TbClean, który do tego celu wykorzystuje informacje zawarte w plikach ANTI-VIR.DAT. Może też podjąć próbę "odkażenia" pliku nie posiadając tych informacji, a tylko na podstawie analizy działania wirusa. Z kolei TbUtil może okazać się pomocny w przypadku zarażenia wirusem tablicy partycji lub boot sektora. Ten moduł pakietu tworzy kopię newralgicznych obszarów twardego dysku i pozwala na ich odtworzenie w razie infekcji lub zniszczenia. Jednak nawet w przypadku, gdy nie posiadamy kopii tablicy partycji, jeszcze nie wszystko jest stracone, gdyż TbUtil może podjąć się próby jej regeneracji. Ponadto program oferuje własny wariant tablicy partycji, który stanowi dla wirusów większą przeszkodę niż wersja standardowa.
W celu udoskonalenia NTBVC stworzono moduł przeznaczony dla zaawansowanych użytkowników. Jeżeli pakiet okaże się bezradny wobec nowej infekcji, wówczas korzystając z TbGenSig można dopisać do pliku zawierającego sygnatury znanych wirusów fragmenty kodu nowego wirusa, co zapewni wykrycie go przez skaner.
Nietrudno odgadnąć jakie miejsce w całym pakiecie zajmuje TbDel. Program jest rozszerzeniem DOS-owej komendy del i oprócz zwolnienia miejsca zajmowanego przez kasowany zbiór i usunięcia nazwy ze spisu plików, fizycznie zastępuje każdy bajt zajmowany przez zbiór zerem, co uniemożliwia jego odzyskanie - nie zagraża więc nam odkasowanie i przypadkowe uruchomienie zawirusowanego pliku.
Wersja DOS-owa pakietu posiada interfejs umożliwiający wygodne korzystanie z poszczególnych modułów NTBVC i ich konfigurację. Poza tym wszystkie programy można uruchamiać z linii poleceń systemu oraz za pośrednictwem plików wsadowych. Zwłaszcza ta druga metoda pozwala na stworzenie systemu bezpieczeństwa bazującego na rezydentnych modułach pakietu i kontrolującego wszystkie drogi przenoszenia się wirusów. W tym przypadku bardzo pożyteczne mogą okazać się liczne opcje konfiguracyjne oferowane przez poszczególne narzędzia, np. możliwość jednokrotnego skanowania dysku w ciągu dnia i ograniczenia przeszukiwania do konkretnego katalogu, a także automatyczne określenie akcji podejmowanej w razie napotkania wirusa.
W wersji NTBVC dla systemu Windows znajdziemy jedną zasadniczą zmianę. Pakiet działający pod kontrolą "okienek" nie usuwa wirusów, a jedynie wykrywa je. Jest to związane z trudnościami, na jakie napotkałby program próbujący "wyplenić" wirusa w czasie, gdy komputer pracuje pod kontrolą Windows. Dla maksymalnej skuteczności działań NTBVC wskazane jest, aby po wykryciu wirusa uruchomić komputer ze "zdrowej" dyskietki i pracując w DOS-ie stawić czoła "zarazie". Podstawowym programem NTBVC dla Windows jest skaner antywirusowy -odpowiednik TbScan. Działający w tle The File I/O Monitor kontroluje wszystkie kopiowane i dearchiwizowane pliki. The Application Execution Tracker Module sprawdza, czy uruchamiane aplikacje są wolne od infekcji. Natomiast za pomocą The Background Scanning Module można ustawić odstęp czasu w zakresie 1-999 minut, w jakim skaner automatycznie dokona sprawdzenia całego dysku (lub kilku dysków) albo tylko jego wybranej części.
Korzystanie z poszczególnych modułów i ustawianie parametrów ich pracy odbywa się w sposób, do jakiego jesteśmy przyzwyczajeni pracując w Windows. Z każdym ekranem związany jest system pomocy w jasnej i krótkiej formie objaśniający wszystkie dostępne opcje.
NTBVC jest również przystosowany do pracy w sieci pod kontrolą Windows (najlepiej NT) i może kontrolować pliki przesyłane między serwerem a stacją roboczą. W tym przypadku bardzo użyteczna jest opcja automatycznego uaktualniania pakietu. Umieszczenie w katalogu UPDATE na serwerze nowszej wersji NTBVC sprawia, że wszystkie komputery pracujące w sieci skopiują ją na swoje dyski w miejsce poprzedniej.
Do pakietu dołączona jest rzetelna instrukcja, opisująca działanie pakietu w systemie DOS, Windows oraz możliwości jego wykorzystania w sieci niestety, podobnie jak cały program w języku angielskim. Do dokumentacji dołączona jest też niewielka broszura w całości poświęcona instalacji pakietu.
Cały pakiet antywirusowy Norman ThunderBYTE Virus Control zasługuje na wysoką ocenę za wielopoziomową ochronę komputera przed infekcją. Widać, że autorzy udoskonalając kolejne wersje programu stworzyli produkt zapewniający wysoki poziom bezpieczeństwa systemu i zgromadzonych na nim danych. Początkujący użytkownik może bez problemów korzystać z jego podstawowych funkcji. Administratorom dbającym o zabezpieczenie komputerów w sieci pakiet oferuje wiele opcji pozwalających dostosować jego działanie do konkretnego systemu.
| Norman ThunderBYTE Virus Control 8.02 | |||||||||||||||||
|
|
||||||||||||||||
