"Шпионские штучки" и устройства для защиты объектов и информации

1. Правовые аспекты защиты информации, циркулирующей в телефонных линиях связи

Важнейшим гарантом прав и свобод граждан является Конституция Российской Федерации, принятая всенародным голосованием 12 декабря 1993 г. В ней есть несколько статей, имеющих отношение к нашей теме.

Статья 2

Статья 23

Статья 24

Положения Конституции подкрепляются иными законодательными актами. В частности, в 1995 году был принят закон Российской Федерации "Об информации, информатизации и защите информации". В нем прямо отмечается, что одной из приоритетных целей государственной политики в сфере информатизации является обеспечение как национальной безопасности, так и реализации прав граждан, а также развитие законодательства в сфере защиты информации. В настоящее время законодательство в полном объеме еще не сформировано. Очевидно, что любая правовая норма, устанавливающая ограничения на какие-либо действия, должна содержать санкции, предусматривающие юридическую ответственность за нарушение данной нормы. Это может быть гражданско-правовая, дисциплинарная, административная или даже уголовная ответственность.

Так как наиболее сильнодействующим средством предупреждения преступления является возможность привлечения именно к уголовной ответственности, обратимся к Уголовному кодексу (УК), действующему на территории Российской Федерации.

Статья 135. Нарушение тайны переписки, телефонных переговоров и телеграфных сообщений

Статья 135 имеет задачей охрану установленного Конституцией РФ (ст. 23) права граждан на тайну переписки, телефонных переговоров и телеграфных сообщений.

Объективная сторона преступления выражается:

а) в незаконном ознакомлении виновных с почтово-телеграфной корреспонденцией и содержанием телефонных переговоров граждан между собой;

б) в предании огласке сведений, сообщаемых гражданами друг другу в письмах, телеграммах или по телефону. Предание огласке имеет место, если сведения сообщены хотя бы одному лицу или если, например, доставляемые письма выброшены в пути и создана возможность ознакомления с ними неопределенного круга лиц. Переписка или переговоры граждан с государственными службами или иными организациями не образуют предмета преступления, предусмотренного ст. 135.

Преступление означено с момента хотя бы частичного ознакомления или предания огласке переписки, телефонных переговоров или телеграмм граждан помимо их воли.

Состав преступления, предусмотренного ст. 135, отсутствует, если ознакомление с перепиской граждан, их телефонными переговорами или телеграфными сообщениями осуществлено в установленном законом порядке сотрудниками правоохранительных органов в целях раскрытия совершенного преступления, обнаружения и задержания совершившего преступления лица. Незаконные действия указанных лиц могут образовать должностное преступление (ст. 170 и 171).

Преступление может быть совершено только с прямым умыслом, который охватывает намерение виновного субъекта ознакомиться с перепиской граждан или предать ее огласке без согласия отправителя или адресата.

Субъект преступления — любое (а не только работник почты, телеграфа или телефонной станции) вменяемое лицо, достигшее 16-летнего возраста.

Интересно, что данная статья УК почти не применяется на практике. Кстати, аналогично положение и за границей. В частности, в США некоторые жертвы акций прослушивания телефонных переговоров подавали в суд. Но чаще всего их иски тянулись до бесконечности, благодаря умелой тактике проволочек, проводимой АНБ, или терялись в бюрократических лабиринтах. Интересно, что прослушивание разговоров по линиям дальней связи с партнерами за рубежом, а также последующая передача содержания соответствующих переговоров спецорганам США, как гласило постановление Апелляционного суда, "неподсудно американским судам" — это целиком лежит "на ответственности правительства".

В уголовно-процессуальном кодексе (УПК) РСФСР также есть положения созвучные со статьей 135 УК.

В некоторых случаях возможно привлечение к уголовной ответственности работников учреждений связи, потворствующих съему информации с телефонных линий по статье 170 УК.

Статья 170. Злоупотребление властью или служебным положением.

При этом под должностными лицами в данной статье понимаются лица, постоянно или временно осуществляющие функции представителей власти, а также занимающие постоянно или временно в государственных или общественных учреждениях, организациях или на предприятиях связи должности, связанные с выполнением организационно-распорядительных или административно-хозяйственных обязанностей, или выполняющие такие обязанности в указанных учреждениях, организациях и на предприятиях по специальному полномочию.

Должностные преступления — это предусмотренные главой седьмой общественно опасные посягательства на правильную, отвечающую закону и иным нормативным актам деятельность органов государственной власти, а также аппарата управления общественных, кооперативных, совместных или государственных учреждений, организаций и предприятий, совершаемые должностными лицами в силу занимаемого служебного положения. К должностным преступлениям УК относит также дачу взятки или посредничество во взяточничестве, которые могут совершаться частными лицами, заинтересованными в получении определенной информации.

С объективной стороны должностные преступления могут совершаться как путем действия, так и путем бездействия. Путем бездействия эти преступления могут совершаться лишь при условии, если на должностном лице лежала обязанность в той или иной ситуации определенным образом действовать и оно имело реальную возможность эту обязанность выполнить надлежащим образом и предотвратить наступление существенного вреда (ст. 172 УК). Превышение власти, получение взятки, должностной подлог, дача взятки или посредничество во взяточничестве совершаются только путем действия, злоупотребление властью или служебным положением, халатность — как путем действия, так и путем бездействия.

Должностное лицо несет уголовную ответственность лишь при условии, что между его действием или бездействием по службе и наступившим последствием имеется причинная связь. Такая связь имеет место тогда, когда действие или бездействие должностного лица явилось непосредственной причиной наступившего вреда или было условием его наступления.

Субъектами должностных преступлений могут быть (кроме дачи взятки и посредничества во взяточничестве) только должностные лица.

По смыслу закона к должностным относятся три категории лиц:

а) постоянно или временно осуществляющие функции представителей органов государственной власти;

б) занимающие постоянно или временно в государственных или общественных учреждениях, организациях или на предприятиях должности, связанные с выполнением организационно-распорядительных или административно-хозяйственных обязанностей;

в) не занимающие указанных выше должностей, но выполняющие по специальному поручению организационно-распорядительские или административно-хозяйственные обязанности в государственных или общественных организациях, учреждениях или на предприятиях.

Не являются субъектами должностного преступления те работники государственных, кооперативных и общественных организаций, предприятий, учреждений, которые выполняют сугубо профессиональные или технические обязанности. Таким образом, к младшему техническому персоналу данные статьи УК применять нельзя, за исключением случая, когда лицо, временно исполняющее обязанности по определенной должности или осуществляющее специальные полномочия, может быть признано субъектом должностного преступления при условии, что указанные обязанности или полномочия возложены на данное лицо в установленном законом порядке.

С субъективной стороны должностные преступления совершаются умышленно (кроме халатности и нарушения антимонопольного законодательства). Обязательным признаком злоупотребления властью или служебным положением, превышения власти или служебных полномочий, должностного подлога является мотив корыстной или личной заинтересованности, а получения взятки — корысть.

В большинстве случаев хороший адвокат представит дело, если оно дойдет до суда, не как должностное преступление, а как должностной дисциплинарный проступок. Должностной дисциплинарный проступок характеризуется отсутствием существенного вреда государственным или общественным интересам или охраняемым законом нравам и интересам граждан.

С объективной стороны злоупотребление властью или служебным положением выражается в использовании должностным лицом своего служебного положения вопреки интересам службы; в причинении существенного вреда государственным или общественным интересам либо охраняемым законом правам и интересам граждан; в наличии причинной связи между действием пли бездействием этого лица и наступившим вредом.

Как злоупотребление властью или служебным положением может расцениваться лишь такое использование должностным лицом своего служебного положения, которое совершено вопреки интересам службы, в противоречии со служебным долгом. Под служебным долгом понимаются обязанности лица, вытекающие из трудового договора с государственными, кооперативными или иными предприятиями и организациями, деятельность которых не противоречит действующему законодательству.

Совершенным вопреки интересам службы признается действие или бездействие должностного лица, которое противоречит интересам органов власти, государственного, общественного или кооперативного учреждения, организации или предприятия.

Обязательным признаком объективной стороны злоупотребления служебным положением является причинение существенного вреда государственным или общественным интересам или охраняемым законом правам и интересам граждан. Вред может выражаться в причинении материального и иного ущерба (в нарушении конституционных прав и свобод граждан, подрыве авторитета органа власти либо государственных и общественных организаций, создании помех и сбоев в их работе и т. п.).

В некоторых случаях деятельность должностных лиц может квалифицироваться как халатность.

Совершение халатности путем действия выражается в ненадлежащем выполнении должностным лицом возложенных обязанностей по службе вследствие небрежного или недобросовестного отношения к ним. Халатность в форме бездействия проявляется в невыполнении должностным лицом своих обязанностей по службе при наличии к тому реальной возможности их выполнить в полном соответствии с требованиями должностной инструкции или специальным полномочием.

Служебные обязанности должностного лица определяются законами, подзаконными актами (инструкциями, положениями), трудовым договором (контрактом) или приказом вышестоящего должностного лица (органа управления). В данной связи но конкретным делам необходимо установить круг и характер служебных прав и обязанностей должностного лица, нормативные акты, их регламентирующие, мотив, цель и фактические обстоятельства совершенного деяния, наличие причинной связи между нарушением (невыполнением) должностным лицом своих обязанностей и наступившими вредными последствиями, а по делам халатности — проверять, имел ли подсудимый реальную возможность выполнить эти обязанности.

В УК существуют и некоторые другие статьи, направленные на защиту имущества связи от посягательств. При неграмотном подключении к магистральным (подземным и подводным) линиям возможно нарушение связи, что может повлечь ответственность по следующим статьям.

Статья 205. Повреждение морского телеграфного кабеля.

В 1926 году советское государство присоединилось к Международной конвенции об охране подводных телеграфных кабелей и в этой связи в УК России была введена норма об охране телеграфного кабеля.

Объективная сторона — действия, которые вызвали или могли вызвать повреждения кабеля, повлекшие за собой перерыв телеграфных сообщений. Такие действия могут быть совершены при выполнении подводных работ, изысканий, научных экспериментов, проводимых без соблюдения правил предосторожности.

Субъективная сторона — неосторожная форма вины. Повреждение телеграфного кабеля в состоянии крайней необходимости исключает уголовную ответственность.

Статья 205'. Нарушение правил охраны линий связи

Диспозиция ст. 205' носит бланкетный характер: чтобы установить, нарушены ли правила охраны линий связи и какие именно, необходимо обратиться к актам, регламентирующим охрану линий связи (например, к Правилам и т. д.).

Ответственность по ст. 205 наступает, если имеет место не только факт нарушения правил охраны линий связи, но и наступили вредные последствия такого нарушения — перерыв междугородней связи. Прекращение связи должно быть не кратковременным, а таким, которое устраняется лишь после производства ремонтных работ с применением специальных средств. С субъективной стороны допустима как умышленная, так и неосторожная формы вины.

Субъект преступления как должностное, так и не должностное лицо, достигшее 16-летнего возраста.

В ряде случаев при "некачественном" выполнении работ по съему информации возможно попасть под более "сильные" статьи УК, например:

Статья 69. Вредительство

В ряде случаев сбор информации может осуществляться в интересах разведслужб иностранных государств либо организаций, являющихся "крышей" для шпионской деятельности. На этот случай в УК есть соответствующие статьи, которые не мешает вспомнить.

Статья 65. Шпионаж

При этом данная статья формулирует ответственность за два вида шпионажа, отличающиеся но своему предмету. Первой разновидностью является шпионаж, предметом которого являются только сведения, составляющие государственную и военную тайну. Другой разновидностью является шпионаж, предметом которого являются и иные сведения. Передача сведений, не составляющих государственную тайну, но используемых в ущерб интересам России, образуют состав шпионажа, если это делается по заданию иностранной разведки. Правда, с субъективной стороны, виновный должен сознавать, что собирает сведения для передачи иностранному государству, иностранной организации или их агентуре для использования в ущерб интересам Российской Федерации и желает этого.

Собирание сведений может осуществляться различными способами, в том числе и с помощью технических средств.

Статья 76. Передача иностранным организациям сведений, составляющих служебную тайну

В проект УК РФ, принятый Государственной Думой, введена статья, предусматривающая ответственность за промышленный шпионаж.

В соответствии с ней виновное лицо может быть оштрафовано на сумму до 200 минимальных зарплат или наказано лишением свободы на срок до одного года.

Статья 12. Неприкосновенность жилища, охрана личной жизни и тайны переписки

Деятельность государственных организации, действий которых достаточно часто опасаются граждане и организации, при проведении специальных операций, в частности, при перехвате телефонных переговоров регламентируется Законом "Об оперативно-розыскной деятельности в Российской Федерации" от 13 марта 1992 г. (с изменениями, внесенными Законом РФ от 2 июля 1992 г.). В связи с этим интересно более подробно рассмотреть основные положения данного Закона.

Данный Закон определяет содержание оперативно-розыскной деятельности, осуществляемой на территории Российской Федерации, и закрепляет систему гарантий законности при проведении оперативно-розыскных мероприятий.

Статья 1. Оперативно-розыскная деятельность.

Оперативно-розыскная деятельность — вид деятельности, осуществляемый, гласно и негласно, уполномоченными на то настоящим Законом государственными организациями и оперативными подразделениями, в пределах их компетенции путем проведения оперативно-розыскных мероприятий в целях защиты жизни, здоровья, нрав и свобод личности, собственности, безопасности общества и государства от преступных посягательств.

Статья 2. Задачи оперативно-розыскной деятельности

Задачами оперативно-розыскной деятельности являются выявление, предупреждение, пресечение и раскрытие преступлений, в том числе сокрытия доходов от налогообложения и уклонения от уплаты налогов, а также лиц, их подготавливающих, совершающих или совершивших; осуществление розыска лиц, скрывающихся от органов дознания, следствия и суда, уклоняющихся от уголовного наказания, без вести пропавших граждан.

Статья 3. Принципы оперативно-розыскной деятельности

Оперативно-розыскная деятельность основывается на принципах законности, уважения прав и свобод личности, конспирации, сочетания гласности и негласных начал.

Полученные в результате оперативно-розыскных мероприятий материалы в отношении лиц, виновность которых в совершении преступления не доказана в установленном законом порядке, хранятся один год, а затем уничтожаются, если исполнение служебных обязанностей или правосудие не требует иного. За три месяца до уничтожения документов, отражающих результаты оперативно-розыскных мероприятий, проведенных с санкции прокурора, об этом уведомляется соответствующий прокурор.

Органам (должностным лицам), осуществляющим оперативно-розыскную деятельность, запрещается предпринимать действия в интересах какой-либо политической партии; принимать негласное участие в работе органов представительной или служебной власти, а также общественных объединений или религиозных организаций, зарегистрированных в установленном законом порядке, с целью оказания влияния на характер их деятельности.

Статья 6. Оперативно-розыскные мероприятия

Оперативно-розыскные мероприятия проводятся только тогда, когда иным путем невозможно обеспечить выполнение задач, предусмотренных статьей 2 настоящего Закона. Для выполнения этих задач органами, осуществляющими оперативно-розыскную деятельность, в соответствии (правилами конспирации применяются:

1) прослушивание телефонных и иных переговоров;

2) снятие информации с технических каналов связи.

В ходе проведения оперативно-розыскных мероприятий используются информационные системы, видео- и аудиозапись, кино- и фотосъемка, а также другие технические средства, не причиняющие вреда жизни и здоровью личности и окружающей среде.

Организация и тактика проведения оперативно-розыскных мероприятий составляют государственную тайну. В связи с этим практически отсутствуют описания в отечественной открытой литературе тактики действия специальных технических подразделений различной ведомственной принадлежности даже в достаточно отдаленные времена (40-е и 50-е годы).

Статья 7. Основания проведения оперативно-розыскных мероприятий

Основанием для проведения оперативно-розыскных мероприятий являются:

1) наличие возбужденного уголовного дела;

2) ставшие известными органам, осуществляющим оперативно-розыскную деятельность, сведения: о подготавливающемся, совершаемом или совершенном противоправном деянии, по которому обязательно производство предварительного следствия, когда нет данных, указывающих на признаки преступления; о лицах, скрывающихся от органов дознания, следствия и суда или уклоняющихся от уголовного наказания; о безвестном отсутствии граждан и обнаружении неопознанных трупов;

3) поручения следователя, указания прокурора или определения суда по уголовным делам, находящимся в их производстве;

4) запросы других органов, осуществляющих оперативно-розыскную деятельность, по основаниям, указанным в настоящей статье;

5) запросы международных правоохранительных организаций и правоохранительных органов иностранных государств в соответствии с договорами (соглашениями) о правовой помощи.

Органы, осуществляющие оперативно-розыскную деятельность, в пределах своей компетенции вправе также собирать данные, характеризующие личность граждан, необходимые для принятия решений:

1) о допуске к сведениям, составляющим государственную тайну, или к работам, связанным с эксплуатацией объектов, представляющих повышенную экологическую опасность;

2) о допуске к участию в оперативно-розыскной деятельности или допуске к материалам, полученным в результате ее осуществления.

Данное положение не распространяется на судей и прокуроров;

3) в связи с оказанием ими содействия в подготовке и проведении оперативно-розыскных мероприятий;

4) о выдаче разрешений на частную детективную и охранную деятельность.

Проведение оперативно-розыскных мероприятий, затрагивающих охраняемые законом тайны переписки и иных переговоров, телеграфных сообщений, а также право на неприкосновенность жилища допускается лишь для сбора информации о лицах, подготавливающих или покушающихся на тяжкие преступления, а также допустивших уклонение от уплаты налогов либо сокрытие доходов от налогообложения в особо крупных размерах, и только с санкции прокурора (по мотивированному постановлению одного из руководителей соответствующего органа, осуществляющего оперативно-розыскную деятельность). Перечень категорий таких руководителей устанавливается ведомственными нормативными актами.

В случаях, которые не терпят отлагательства и могут привести к совершению террористического акта или диверсии, на основании мотивированного заключения одного из руководителей соответствующего органа, осуществляющего оперативно-розыскную деятельность, допускается проведение оперативно-розыскных мероприятий, перечисленных в части второй настоящей статьи, с незамедлительным уведомлением соответствующего прокурора и последующим получением санкции в течение 24 часов.

В случае возникновения угрозы жизни, здоровью, собственности отдельных лиц по их заявлению пли с их письменного согласия разрешается прослушивание переговоров, ведущихся с их телефона или других переговорных устройств, на основании постановления, утвержденного руководителем органа, осуществляющего оперативно-розыскную деятельность, с обязательным уведомлением соответствующего прокурора в течение 24 часов.

Статья 11. Органы, осуществляющие оперативно-розыскную деятельность

На территории Российской Федерации право осуществлять оперативно-розыскную деятельность предоставлено:

1) органам Министерства внутренних дел Российской Федерации;

2) органам Министерства безопасности Российской Федерации;

3) органам пограничной охраны;

4) Службе внешней разведки Российской Федерации;

5) оперативным подразделениям Главного управления охраны Российской Федерации;

6) оперативным подразделениям Главного управления налоговых расследований при Государственной налоговой службе Российской Федерации и соответствующим подразделениям при государственных налоговых инспекциях по республикам в составе Российской Федерации, краям, автономным областям, автономным округам, районам, городам и районам в городах.

Перечень органов, осуществляющих оперативно-розыскную деятельность, может быть изменен или дополнен только законом.

Статья 19. Прокурорский надзор

Прокурорский надзор за исполнением законов при проведении оперативно-розыскных мероприятий и законностью принимаемых при этом решений осуществляют Генеральный прокурор Российской Федерации и подчиненные ему прокуроры.

Статья 20. Ведомственный контроль

Руководители органов, осуществляющих оперативно-розыскную деятельность, несут персональную ответственность за законность при организации и проведении оперативно-розыскных мероприятий.

Существует и целый ряд других актов, регламентирующих деятельность органов, имеющих право на контроль телефонных переговоров. В связи с тем, что многих интересует, а не произойдет ли утечки информации, полученной в ходе оперативно-розыскной деятельности, приведем ст. 11. Положения о Федеральной государственной службе, которое введено в действие Указом Президента Российской Федерации, где сказано:

Лицам, традиционно опасающимся деятельности ФСБ (бывшего КГБ), порекомендуем обратиться к Закону "Об органах Федеральной службы безопасности в Российской Федерации", особенно к следующей статье.

Статья 9

В принципе, и в нормах международного права существуют аналогичные положения. Например, ст. 4 Кодекса поведения должностных лиц по поддержанию правопорядка, принятого резолюцией 34/169 Генеральной Ассамблеи ООН 17 декабря 1979 г., гласит:

О мерах по упорядочению производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации

_{(Указ Президента Российской Федерации от 09.01. 96 г.)}

В соответствии с Федеральным законом "Об оперативно-розыскной деятельности и учитывая необходимость осуществления мер, направленных на упорядочение разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации, не уполномоченными на осуществление оперативно-розыскной деятельности физическими и юридическими лицами, постановляю:

1. Возложить на Федеральную службу безопасности Российской Федерации:

— лицензирование деятельности не уполномоченных на осуществление оперативно-розыскной деятельности физических и юридических лиц (далее именуются — неуполномоченные лица), связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввозом в Российскую Федерацию и вывозом за ее пределы специальных технических средств, предназначенных для негласного получения информации, а также сертификацию, регистрацию и учет таких специальных технических средств;

— выявление и пресечение случаев проведения оперативно-розыскных мероприятий и использования специальных и иных технических средств, разработанных, приспособленных, запрограммированных для негласного получения информации, неуполномоченными лицами;

— координацию работы оперативных подразделений органов, осуществляющих оперативно-розыскную деятельность в соответствии с федеральным Законом "Об оперативно-розыскной деятельности", по выявлению нарушений установленного порядка разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных для негласного получения информации, неуполномоченными лицами.

2. Федеральной службе безопасности Российской Федерации в месячный срок представить в Правительство Российской Федерации:

— предложения о порядке лицензирования деятельности неуполномоченных лиц, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных для негласного получения информации, а также о порядке сертификации, регистрации и учета таких специальных технических средств;

— перечень видов специальных технических средств, предназначенных для негласного получения информации в процессе осуществления оперативно-розыскной деятельности.

3. Федеральной службе безопасности Российской Федерации подготовить в установленном порядке в 2-х месячный срок согласованные с заинтересованными федеральными органами государственной власти предложения о внесении в федеральное законодательство изменений и дополнений, предусматривающих установление ответственности неуполномоченных лиц за нарушение установленного порядка разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации.

4. Настоящий Указ вступает в силу со дня его подписания.

2. Программа-ревизор ADINF

От всех существующих в настоящее время антивирусных программ ADinf (автор — Д.Мостовой) отличается тем, что он работает с диском непосредственно по секторам через BIOS, не используя DOS, что позволяет успешно обнаруживать казавшиеся невидимыми так называемые Stealth-вирусы, берущие на себя более 20-ти функций DOS, а также вирусы в дисковом драйвере, в том числе новые вирусы, неизвестные ранее. Этого не может ни одна другая антивирусная программа!

— Advanced Diskinfoscope в настоящее время является единственной антивирусной программой, которая при загрузке DOS с винчестера (а не с заклеенной дискеты, как того требуют все остальные программы), при правильном использовании, обнаруживает ВСЕ существующие в настоящее время вирусы.

— Кроме борьбы с вирусами ADinf позволяет следить за целостностью и сохранностью информации на винчестере и за всеми происходящими на диске изменениями, что бывает особенно полезно на "персональных ЭВМ коллективного пользования", широко распространенных в нашей стране.

— Расширение ревизора ADinf — программа ADinf Cure Module (файл ADinfExt.exe), поддерживает небольшую дополнительную базу данных, описывающую файлы, хранящиеся на диске.

В случае обнаружения вируса она позволяет немедленно и надежно вылечить вашу машину. Лечению таким способом поддаются до 97 % существующих и, что самое главное, новых, неизвестных на настоящий момент вирусов.

Принцип работы ревизора ADinf

Принцип работы программ-ревизоров основан на сохранении в таблице основных данных о диске. Таблица содержит образы MASTER-BOOT и BOOT секторов, список номеров сбойных кластеров, схему дерева каталогов и информацию о всех контролируемых файлах. Кроме того, ADinf запоминает и при каждом запуске проверяет, не изменился ли доступный DOS объем оперативной памяти (что бывает при заражении большинством загрузочных вирусов), количество установленных винчестеров, таблицы параметров винчестера в области переменных BIOS (Hard Disk Parameter Table).

При всех этих проверках программа просматривает диск по секторам непосредственно через BIOS и не использует прерывания Int 21h и Int 13h, что позволяет успешно обнаруживать активные маскирующиеся вирусы, находящиеся в памяти и взявшие на себя эти жизненно важные прерывания.

Проверки, производимые ревизором

При первом запуске программа запоминает объем оперативной памяти, находит и запоминает адрес обработчика прерывания Int 13h в BIOS, который будет использоваться при всех последующих проверках, и строит таблицы для проверяемых дисков. При этом проверяется, показывал ли вектор прерывания 13h в BIOS перед загрузкой DOS.

При последующих запусках программа проверяет диски в следующей последовательности:

— Проверяется объем оперативной памяти, доступной DOS, и переменные BIOS.

— Проверяются MASTER-BOOT BOOT MASTER-BOOT сектор проверяется при проверке логического диска С:, а на машинах IBM PC AT D: (для второго физического винчестера). Если обнаружены изменения этих секторов, то можно в режиме диалога сравнить системные таблицы, которые были до и после изменения, и по желанию восстановить прежний сектор. После восстановления измененный сектор сохраняется В файле на диске для последующего анализа.

— Проверяется список номеров сбойных кластеров. Некоторые вирусы помечают хороший кластер как сбойный и "селятся" в нем. ADinf предупредит вас об этом.

— Проверяется дерево каталогов диска. Ищутся вновь заведенные и уничтоженные подкаталоги.

— Проверяются файлы. Ищутся новые, удаленные с диска, переименованные, перемещенные из одного подкаталога в другой и изменившиеся файлы. Проверяется изменение длины и контрольной суммы файла.

Изменения анализируются и, если они по мнению программы, "безобидные", т. е. изменения файлов сопровождаются изменением даты и времени файла, то программа поместит информацию об изменениях в список, который можно просмотреть в режиме диалога или записать на диск в виде протокола проверки. Если же происходят "подозрительные" изменения, то программа предупредит вас о возможности заражения вирусом.

К "подозрительным" изменениям относятся:

— Изменение файла без изменения даты и времени (как поступают большинство из грамотно написанных вирусов);

— Изменение файла с появлением странной даты (число больше 31, месяц больше 12 или год больше текущего). Такими датами некоторые вирусы "помечают" зараженные файлы.

— Изменение файла с появлением странного времени (минут больше 59, часов больше 23 или секунд больше 58).

— Изменение файла, имя которого указано в списке неизменяемых файлов.

Требования к оборудованию

Программа работает на IBM PC XT AT и PS2 с одним пли двумя жесткими дисками и с одним или двумя дисководами для гибких дисков. Программа тестировалась в среде MS-DOS, PC-DOS версии 3.20 — 6.02, а также в среде DR-DOS 5.00 и 6.00. Novell DOS 7.00 и Compaq-DOS 3.31. Программа работает непосредственно с видеопамятью, минуя BIOS. Поддерживаются все графические адаптеры (Hercules, CGA, EGA, VGA). Обеспечивается полная совместимость с MS Windows, DESQview, кэшем HyperDisk версий больше 4.50.

Использование программы

Программа ADinf может запускаться

— из файла AUTOEXEC.BAT;

— из командной строки DOS.

Запуск ADinf из файла AUTOEXEC ВАТ

Для запуска программы ADinf в процессе загрузки машины в файл AUTOEXEC.BAT необходимо добавить строку вида (этот вызов добавляется в файл AUTOEXEC.BAT автоматически при инсталляции программы):

Например, предполагая, что программа записана в каталоге C: \ADINF.

Более подробно ключи программы рассмотрены ниже.

Запуск ADinf из командной строки DOS

При запуске из командной строки Advanced Diskinfoscope ADinf может работать в пакетном и диалоговом режимах.

Запуск в пакетном режиме

В пакетном режиме ADinf последовательно проверяет диски в соответствии с параметрами, ладанными в командной строке. Для запуска ADinf в пакетном режиме необходимо набрать команду вида:

Например, если набрать команду

то будут последовательно проверены диски С: D: и E:. В этом примере предполагается, что программа ADinf находится в подкаталоге ADINF.

Ключи программы

Ключи программы задаются в командной строке. Они должны начинаться со знака "-" или "/" и могут задаваться как маленькими, так и заглавными буквами. Знаком "*" помечены ключи, работающие только в пакетном режиме запуска программы ADinf.

1) * Ключ — а устанавливает режим для AUTOEXEC.BAT, в котором исключены некоторые малозначащие диалоговые остановки.

2) * Ключ — Ь отменяет закрашивание фона экрана и оставляет "прозрачный" фон. Такой режим, на наш взгляд, улучшает эстетическое восприятие программы при запуске в файле AUTOEXEC.BAT.

3) Ключ — сl[<путь>] позволяет записать протокол проверки на диск в каталог, указанный после ключа — cl. Например — clC: \ADINF\. Если указать ключ — cl без пути, то протокол будет записан в текущий каталог. Если файл с протоколом существует, то протокол дописывается в существующий файл. Протокол проверки можно также записать, не задавая ключа — cl, а выбрав вариант "Записать протокол изменений" из меню после просмотра результатов проверки диска.

4) Ключ — co[lor] — использовать цвета для цветного монитора.

5) * Ключ — d включает режим работы 1 раз в сутки, что экономит ваше время при перезагрузках, если вызов программы ADinf стоит в файле AUTOEXEC.BAT.

6) Ключ — е — не ставить атрибут Hidden файлам с таблицами.

7) Ключ — f включает режим быстрой проверки без расчета контрольных сумм файлов. В этом режиме невозможно обновление информации в таблице. Этот ключ аналогичен включению опции "Режим fast" в диалоговом режиме работы программы.

8) Ключ — g — отменить контроль Hard Disk Parameter Table в области переменных BIOS.

9) Ключ — i включает "информационный" режим, при котором после проверок диска таблицы не обновляются. Этот ключ аналогичен включению опции "Режим info" в диалоговом режиме работы программы. Нельзя использовать одновременно ключи — i и — d.

10) Ключ — l|<путь>] позволяет записать протокол проверки на диск в каталог, указанный после ключа — l. Например — lC: \ADINF\. Если указать ключ — l без пути, то протокол будет записан в текущий каталог. От ключа — cl отличается тем, что дозапись в существующий файл не производится и файл протокола замещает существовавший.

11) Ключ — m — не использовать мышь.

12) Ключ — mo[no] — использовать цвета для монохромного монитора. ADinf автоматически определяет, цветной или монохромный монитор присутствует в системе. Однако, если вы хотите на цветном мониторе получить черно-белое изображение, используйте этот ключ.

Часто это бывает полезно на переносных компьютерах с LCD VGA мониторами.

13) Ключ — n принудительно отменяет заставку программы там, где она должна быть. По умолчанию заставка выдается в диалоговом режиме. В остальных случаях в целях экономии времени она отсутствует.

14) Ключ — nam — No Arrow Mouse — использовать стандартный курсор мышц.

15) Ключ — nr — не ожидать ретрейсов при работе с CGA-адаптером.

16) Ключ — os тем, кому больше нравился старый стиль оформления ADinf (до версии 9.00), позволяет запустить ADinf в прежнем стиле (Old Style). При использовании этого ключа не производится загрузка шрифта в знакогенератор адаптеров EGA VGA, поэтому он может быть полезен, если возникают конфликты ADinf с какими-либо резидентными программами, например русификаторами.

17) Ключ — р включает режим "PERSONAL", предусмотренный специально для пользователей "персональных ЭВМ коллективного пользования". В обычном режиме программа ADinf создает свои таблицы в корневом каталоге контролируемых дисков. В режиме "PERSONAL" таблицы создаются в том каталоге, где находится программа ADinf. Вы можете иметь копию этой программы в своем каталоге или на дискете и, приходя на машину, смотреть, что изменилось во время вашего отсутствия. Этот ключ аналогичен опции "Таблицы личные" в диалоговом режиме работы программы.

Однако, этим режимом надо пользоваться достаточно осторожно.

Если вы придете с дискетой, на которой построены таблицы для одной машины, на другую машину, то ничего хорошего вы не обнаружите. А если вы попытаетесь восстановить MASTER-BOOT или BOOT сектор, то я вам не завидую.

18) Ключ — r — работа в среде DR-DOS. Программа ADinf определяет, что она находится в среде DR-DOS по номеру версии системы.

Если на запрос версии система отвечает 3.31 (что верно для DR-DOS 5.00 и 6.00), то программа не использует недокументированные возможности MS-DOS. В последующих версиях системы DR-DOS может измениться возвращаемый номер версии. Если программа зависает при запуске в среде DR-DOS версий старше, чем 5,00, попробуйте запустить ее с ключем — r. Этот ключ необходимо использовать также при работе в Compaq-DOS или другой операционной системе, не полностью совместимой с MS-DOS.

19) Ключ — s отключает звуковое сопровождение программы. Этот ключ аналогичен опции "Звук выключен" в диалоговом режиме работы программы.

20) Ключ — Setup задает каталог или полное имя для записи файла с запоминаемым состоянием ADinf. По умолчанию файл с именем A-Dinf- записывается в тот же каталог, где расположена программа ADinf.exe. Переназначить каталог для записи файла с установками бывает необходимо, если ADinf установлен на защищенный от записи раздел диска. Для этого необходимо задать путь в строке запуска ADinf в виде:

В этом примере состояние программы будет сохраняться в файле с полным именем

Существует возможность сохранять несколько состояний программы с разными списками расширений, именами таблиц, методом доступа к дискам и т. д. Для этого необходимо в строке запуска задать имя файла для записи установок, например в случае

будет использован файл Му_Sеtuр, расположенный в каталоге D: \SET.

ПРИМЕЧАНИЕ. В случае некорректного задания полного пути или полного имени файл с установками не записывается без выдачи диагностического сообщения.

21) Ключ — Stop. Если за вирусную безопасность на фирме отвечает системный программист, который настраивает программы защиты, а на компьютерах работают только пользователи, не знакомые с системными тонкостями, то ADinf необходимо настроить так, чтобы он никогда не сообщал об изменениях. Это достигается правильным выбором списка расширении контролируемых файлов и назначением рабочих каталогов. При задании ключа — Stop в строке вызова ADinf из AUTOEXEC.BAT любое изменение, зафиксированное ревизором ADinf, будет приводить к выдаче сообщения о необходимости вызвать системного программиста, и продолжать работать на машине до прихода ответственного системного программиста будет нельзя.

Внимание системным программистам!

1. После добавления этого ключа в строку вызова ADinf в файле AUTOEXEC.BAT не забудьте обновить таблицы ревизора, иначе ADinf при следующей проверке диска зафиксирует изменение файла AUTOEXEC.BAT и не даст продолжить работу.

2. Когда ADinf останавливается, выдавая сообщение о необходимости вызвать системного программиста, нажатие на клавиши или <Еnter> приводит к перезагрузке компьютера. Выйти из этого состояния можно только нажав клавишу . Однако не говорите об этом своим пользователям!

22) * Ключ — w включает режим построения новых таблиц для диска.

23) Ключ -13 отключает проверку, показывает ли вектор прерывания в область BIOS. Отключать эту проверку необходимо, если на компьютере используется Shadow Bios, допускающий запись в область адресов ПЗУ. В этом случае только при первом запуске ADinf на машине необходимо отключить использование Shadow Bios, чтобы ADinf смог найти и запомнить адрес обработчика Int 13h. Затем можно включить использование Shadow Bios и запускать ADinf с ключем -13.

24) Ключ -76 отменяет обработку прерывания 76h.

Если при запуске ADinf в командной строке не указано ни одно имя диска, то программа запускается в диалоговом режиме работы.

Например:

При запуске ADinf в диалоговом режиме верхняя строка содержит основное меню диалогового режима. Это меню содержит следующие альтернативы: ADinf, ДИСКИ, РАБОТА, ОПЦИИ, КОНЕЦ. При запуске ADinf автоматически входит в меню "РАБОТА", раздел "ПРОВЕРИТЬ ВСЕ". Для проверки всех дисков, на которых были созданы таблицы ADinf, достаточно просто нажать на .

Вы можете перемещаться по альтернативам, используя клавиши перемещения курсора вправо и влево или манипулятор мышь. Для выбора альтернативы необходимо нажать на клавишу <Ввод>.

Мы не будем детально описывать работу Adinf в диалоговом режиме, поскольку общение с программой в этом режиме не вызывает сложностей благодаря "дружественному" интерфейсу на русском языке.

Кроме того, в стандартную поставку программного продукта входит текстовый файл с подробным описанием работы ревизора Adinf.

Работа с дискетами

Подавляющее большинство вирусов заносится на компьютер на дискетах. Причем вы можете заразить свою изначально чистую от вирусов дискету, просто установив ее в дисковод зараженного компьютера и, например, только просмотрев ее каталог. Заметим, что, наоборот, заразить компьютер с дискеты, просто воткнув ее в дисковод невозможно — надо запустить хотя бы одну зараженную программу, находящуюся на дискете, или загрузить компьютер с зараженной дискеты.

Чтобы быть спокойным за "здоровье" своих дискет и дискет, передаваемых кому-либо, ADinf позволяет снабдить дискету таблицей-сертификатом с полной информацией о содержимом. Перед передачей дискет создайте на них таблицы ADinf. Если у получателя дискет установлен Advanced Diskinfoscope, то он сможет проверить целостность находящейся на дискете информации. А вы, получив такую дискету, можете быстро проверить, не заражена ли она вирусом.

Таблица, создаваемая на дискете, содержит полную информацию о конфигурации ADinf. необходимую для проверки (список проверяемых файлов, типы контрольных сумм и даже имена индивидуальных Viewer-ов и редакторов, назначенных для файлов этой дискеты). Поэтому ваша конфигурация программы ADinf может не совпадать с конфигурацией программы, при помощи которой создавались таблицы на проверяемой дискете.

Полезные замечания

1. Перед тем, как первый раз создавать таблицы ADinf, проверьте свой диск на наличие известных вирусов с помощью какой-нибудь надежной антивирусной программы, например Aidstest или SCAN.

2. Проверяйте свой диск несколько раз в день, особенно если вы пользовались дискетами.

3. Программа ADinf BIOS читает диск, обращаясь непосредственно в BIOS.

Эти обращения не могут контролироваться не только вирусами, но и другими резидентными программами. Поэтому могут возникнуть проблемы при использовании ADinf (SmartDrv и др.), оптимизирующими не только чтение с диска, но и запись на диск. Если кэширование оптимизирует только чтение данных, то ADinf и программа кэширования пытаются одновременно обратиться в BIOS, что недопустимо. При использовании кэширования, оптимизирующего запись, можно рекомендовать следующее.

Во-первых, можно выключать кэширование записи на диск перед запуском ADinf, а после окончании работы ADinf включать опять.

Например, при использовании программы SmartDrv.exe для отключения кэширования записи на диски С: и D: необходимо выдать команду SmartDrv С D, а для включения кэширования SmartDrv С+ D+.

Второй способ заключается в том, что в ADinf можно назначить доступ ко всем дискам кроме диска С: через Int 13h. Для этого надо войти в меню ОПЦИИ->НАСТРОЙКИ->ОБРАЩЕНИЕ К ДИСКАМ. ADinf начнет работать через кэш и конфликты прекратятся, однако надо помнить, что надежность обнаружения вирусов при этом снижается.

ПРИМЕЧАНИЕ. Начиная с версии 9.00 ADinf полностью поддерживает совместимость с программой кэширования HypcrDisk версий выше 4.50. При использовании этой программы перечисленные выше проблемы не возникают.

3. Антивирусная программа AIDSTEST

Назначение программы

Программа Aidstest (автор Лозинский В.И.) предназначена для обнаружения и исправления программ, зараженных определенными типами вирусов. Набор вирусов постоянно пополняется, что влечет появление новых версии этой программы.

В процессе исправления программные файлы, которые исправить невозможно, стираются.

Aidstest работает на компьютерах IBM PC/XT/AT/PS-2 и совместимых с ними под управлением DOS версии 2.0 или выше.

В момент запуска Aidstest в памяти не должно быть резидентных антивирусных программ, которые блокируют запись в программные файлы.

Поскольку Aidstest обнаруживает только уже известные вирусы, полезно иметь и программу, обнаруживающую появление на диске новых вирусов. Из известных в настоящее время дисковых ревизоров наиболее эффективным и надежным является, пожалуй, ADinf Д.Мостового, который за несколько секунд просматривает весь диск и сообщает обо всех подозрительных происшествиях. Дополнительно с ADinf может работать специальный лечащий модуль — ADinf Cure Module, который позволит в 97 % случаев заражения новыми вирусами, неизвестными для Aidstest, успешно восстанавливать файлы, приводя их в то же состояние, что и до заражения. Это позволит вам вылечить компьютер, не дожидаясь появления свежей версии Aidstest. Хотя, конечно, в наиболее сложных случаях (около 3 % вирусов) использование программы типа Aidstest необходимо.

Параметры

Программа Aidstest вызывается следующей командной строкой:

Ключи команды имеют следующие значения:

path — задает подмножество файлов, которые следует проверить на зараженность. Кодируется практически по тем же правилам, что и в команде DIR. Вместо этого параметра можно поставить символ "*", который означает задание на работу со всеми дисками, начиная с "С". Для проверки текущего каталога следует задавать просто символ".". ПРИ ИСПОЛЬЗОВАНИИ В СЕТИ параметр path рекомендуется задавать в виде d:*.*" или "d:.";

/f — переключатель, означающий задание на исправление зараженных программ и стирание испорченных безнадежно;

/g — глобальная проверка всех файлов на диске (не только СОМ, ЕХЕ и SYS). Необходимость такого режима вызвана тем, что некоторые вспомогательные подпрограммы имеют расширение имени, отличное от EXE, СОМ и SYS, однако в момент загрузки некоторые вирусы успевают их заразить. С этим параметром программу рекомендуется запускать только для чистки, когда известно о наличии в машине вируса;

/s — этот переключатель можно попробовать использовать в случае, когда вирус, объявленный удаленным, продолжает упорно появляться вновь. Дело в том, что иногда, например, при лечении некачественными антивирусными средствами, болезнь загоняется вглубь, и диагностика требует замедленного просмотра программных файлов. Кроме того, этот переключатель необходим для обнаружения заражения и лечения дисков, испорченных вирусами семейства DIR, в тех случаях, когда тело вируса отсутствует на диске, что бывает довольно часто;

/p[NF| — задается при желании сохранить протокол. [NF] — имя файла. Если имя файла не задано, выдача происходит на первое печатающее устройство. В последнем случае необходимо не забыть заранее его включить, поскольку напоминания не будет;

/х — переключатель, означающий разрешение стирать файлы, в которых обнаружен вирус, а дополнительный контроль показывает, что успешное лечение невозможно. Такая ситуация может возникнуть при заражении недостаточно грамотно написанными вирусами;

/q — при использовании этого переключателя до стирания каждого файла, который невозможно исправить, на экран монитора выдается запрос на подтверждение стирания;

/Ь — тестировать только одну дискету и заканчивать работу без выдачи вопроса о смене дискеты. Этот переключатель может быть полезен пои использовании в пакетных (ВАТ) файлах;

/e — загрузить в адаптеры EGA или VGA русские буквы на время работы Aidstest. Имеет смысл, если у вас еще не установлен соответствующий драйвер.

/m — специально для тех, кто на своей машине никак не может расстаться с "основной" кодировкой русских букв;

/l — использовать при выводе сообщений Aidstest второй язык;

/z — необходимо задавать при наличии на машине аппаратно-программного комплекса "Sheriff", где — пять первых цифр серийного номера платы "Sheriff";

/d — выдать информацию о ценах и условиях распространения Aidstest;

/а — заблокировать выдачу рекламного кадра, завершающего работу некоторых версий Aidstest.

При кодировании параметров не следует задавать символы квадратных и угловых скобок, поскольку в данном описании они используются просто как металингвистические ограничители. Квадратные скобки окаймляют необязательный элемент формата параметра, а угловые — обязательный.

При ошибке в задании параметров па экран выдается краткое описание ключей программы (рис. П3.1).

Рис. ПЗ.1. Экранная подсказка программы Aidstest

Следующие примеры показывают некоторые простейшие случаи кодирования командной строки для вызова Aidstest.

Сообщения и дополнительные возможности

Программа Aidstest реализована в нескольких вариантах с интерфейсом на различных языках: русском, английском, французском, немецком и испанском. Причем каждый вариант является двухязычным, а для переключения языков предназначен специальный ключ /L.

Для чтения на экране монитора некоторых букв, отсутствующих в стандартной кодировке IBM, следует использовать подходящий драйвер монитора для соответствующего языка или же адаптер монитора должен быть аппаратно приспособлен для этого языка. Для русско-язычного интерфейса загрузка кириллицы в адаптеры EGA или VGA может быть сделана самим Aidstest с помощью задания ключа /Е.

Основной протокол Aidstest достаточно прост и понятен.

Про каждый вирус, обнаруженный в файле, сообщается его имя, номинальная длина (в скобках после имени), а в случае успешного лечения через косую черту — величина изменения длины файла (бывает и нулевой, если вирус при заражении не изменил длину файла).

Программа обнаруживает и обезвреживает все известные ей типы вирусов и в памяти машины. В этом случае в конце работы на экран выдастся предложение автоматически перезагрузить систему. Ответить на это предложение "N", запретив тем самым перезагрузку, можно только подготовленным пользователям, хорошо понимающим, зачем они это делают. Следует учитывать, что обезвреживание вирусов в памяти призвано в первую очередь обеспечить возможность успешного завершения лечения. Некоторые функции системы при этом могут восстанавливаться неполноценно. Кроме того, свойства вирусов, не связанные с размножением, не убираются, т. е. могут продолжаться осыпание букв, появление черного квадрата, исполнение мелодии и т. п.

Aidstest довольно надежно контролирует собственное здоровье относительно большинства типов вирусов. При обнаружении собственного заражения новым типом вируса Aidstest выдаст соответствующее сообщение и прекращает работу.

Кроме того, необходимо учитывать, что факт своего "заражения" Aidstest может зафиксировать и без вируса, если тело самой программы Aidstest искажено, например, из-за ее сжатия каким-то упаковщиком, вакцинирования какой-либо антивирусной программой или, наконец, просто неустойчивого считывания ее самой с диска.

После сообщения о неудачной попытке исправить вирус в Partition Table программа может предложить записать стандартную версию программной части Partition Table. Пока трудно придумать, какими неприятностями может грозить согласие на такое предложение. При лечении дискет в аналогичной ситуации вам может быть предложено "слегка испортить Boot Record, чтобы обезвредить вирус". Худшее, чем может грозить согласие на это предложение, это то, что с этой дискеты не будет проходить загрузка. Доступность информации, находящейся на этой дискете, измениться не должна.

Иногда после сообщения об исцелении может следовать приписка "(есть вопросы)". Пока она означает неудачную попытку освободить кластеры, занятые ВООТ-вирусом.

Для использования Aidstest в командных файлах предусмотрена выработка кода завершения (ERRORLEVEL):

0 — вирусы не обнаружены;

1 — нормальное завершение, вирусы обнаружены;

2 — ненормальное завершение программы;

3 — ошибка в программе Aidstest.

* * *

4. Антивирусная программа DR.WEB

Антивирусная программа Dr. Web (автор Данилов И.А.) производит поиск и удаление известных ей вирусов в памяти и на дисках компьютера, а также производит эвристический анализ файлов и системных областей компьютера для обнаружения новых и неизвестных ей вирусов и детектирует их.

РЕКОМЕНДУЕТСЯ запускать программу Dr. Web для тестирования файлов, памяти и системных областей магнитных носителей с защищенного от записи диска поставки (или архивного диска), предварительно загрузив операционную систему с защищенной от записи системной дискеты.

Командная строка для запуска Dr. Web выглядит следующим образом:

Диск:

X: — логическое устройство жесткого диска или физическое устройство гибкого диска, например, F: или А:;

* — все логические устройства на жестком диске;

?: — текущее устройство.

Путь:

путь или маска тестируемых файлов.

Ключи:

/А — диагностика всех файлов на заданном устройстве;

/В — вывод сообщений в режиме монохромного монитора;

/D — удаление файлов, восстановление которых невозможно;

/F — лечение дисков и файлов, удаление найденных вирусов;

/Н — поиск вирусов в адресном пространстве oт 0 Кбат до 1088 Кбайт;

/L — вывод сообщений на другом языке;

/М — работа без поиска вирусов в памяти компьютера;

/N — тестирование только одного флоппи-диска без вопроса замены диска;

/О — вывод сообщения "ОК" для неинфицированных файлов;

/Р[N] — запись протокола работы в файл (по умолчанию в файл REPORT.WEB);

/R — загрузка знакогенератора русского алфавита;

/S[уровень] — эвристический анализ файлов и поиск в них неизвестных вирусов:

0 — минимальный уровень,

1 — оптимальный (устанавливается по умолчанию),

2 — "параноический";

/Т — отключение проверки целостности собственного программного кода;

/U|M|[WI[диск: ] — проверка файлов, упакованных LZEXE, DIET, PKLITE, а также вакцинированных антивирусом CPAV:

N — отключение вывода на экран информации о названии утилит, с помощью которых произведена упаковка файлов.

W — восстановление файла и удаление из него кода распаковщика.

Диск: — устройство, на котором будет производиться распаковка файлов.

/V — контроль за заражением тестируемых файлов активным резидентным вирусом;

/Z — пять первых цифр серийного номера платы Sheriff;

/? — вывод на экран краткой справки.

* * *

Если в командной строке Dr. Web не указано ни одного ключа, то вся информация для текущего запуска будет считываться из файла конфигурации WEB.INI, расположенного в том же каталоге, что и файл WEB.EXE. Формат файла конфигурации WEB.INI представлен в текстовом виде и полностью соответствует формату командной строки программы Dr. Web. В файле WEB.INI можно задавать как ключи, необходимые для текущего запуска, так и тестируемые диски или устройства. В комплект поставки входит стандартный файл WEB.INI, который необходимо откорректировать под пользовательские задачи.

Если вы переименовываете программу WEB.EXE (для маскировки запуска Dr. Web от резидентных вирусов, контролирующих работу WEB.EXE), то необходимо переименовать также файл WEB.INI (если он используется для работы) в имя, соответствующее программе Dr. Web, но расширение файла конфигурации должно остаться прежнее INI. Например: файл WEB.EXE переименован в файл ANTIVIR.EXE, тогда файл WEB.INI необходимо переименовать в ANTIVIR.INI.

Если файл конфигурации отсутствует и ключи в командной строке не указаны, то Dr. Web будет сканировать память компьютера в адресном пространстве or 0 до 640 Кбайт, а также файлы с расширениями *.COM, *.ЕХЕ, *.ВАТ, *.SYS, *.BIN, *.DRV. *.ВОО и *.OV? и выводить сообщения об их заражении известными вирусами.

Следует отметить, что последние версии антивирусной программы Dr.Web работают также и в диалоговом режиме. Настройки, задаваемые с помощью приведенных выше ключей, можно установить в диалоговом окне, представленном на рис. П4.1.

Рис. П4.1. Диалоговое окно настройки Dr.Web

Комментарии

Режим /V

В процессе тестирования файла, в режиме /V (контроль за заражением тестируемых файлов резидентным вирусом active resident Virus), Dr. Web может выдать на экран сообщение типа:

Данное сообщение говорит о том, что перед открытием указанного файла на чтение его длина имела одно значение, а после открытия другое. Возможно, что в момент открытия этого файла средствами Dr.Web в памяти находился неизвестный резидентный вирус, который произвел заражение данного файла. В данном случае приращение длины будет положительным. Или возможен другой вариант, когда в памяти находится резидентный Stealth-вирус (вирус-невидимка), который пытается скрыть наличие своей копии в тестируемом файле. В этом случае приращение длины — отрицательное.

В обоих случаях рекомендуется прекратить работу, перегрузить компьютер с дискеты с "чистой" операционной системой и произвести детальный анализ подозрительных файлов (запуск Web /S с защищенного от записи дистрибутивного диска поставки).

Режим /F

Если в режиме / F (Files cure) при попытке лечения загрузочного вируса на диске Dr. Web выдаст сообщение:

то это означает, что оригинальный Master Boot Record или Boot Sector не обнаружены в секторе, в котором удаляемый вирус должен их "прятать". Это может произойти в том случае, если вирус является слегка модифицированной версией известного вируса и исходный Boot-сектор он хранит где-то в другом месте диска, либо при заражении компьютера несколькими Boot-вирусами, которые в результате "накладываются" друг на друга. В этом варианте Dr. Web вместо исходного MBR в "тайнике" первого вируса находит "голову" следующего и т. д.

А поскольку Web сразу не анализирует найденный им сектор MBR на наличие еще одного вируса, но он видит, что это не исходный MBR, то он и предупреждает вас об этом. Если вы разрешите лечение, то Dr.Web по очереди излечит компьютер от известных ему вирусов. Следует отметить, что при поражении диска несколькими Boot-вирусами иногда происходит потеря исходного Master Boot Record, если разные вирусы, заразившие компьютер, размещают MBR в одном и том же секторе диска. Как правило, в этом случае компьютер при загрузке системы с этого диска "зависает". Dr. Web при попытке лечения такого диска также может зациклиться, стремясь вылечить сначала один вирус, потом другой. В этом случае лучше отказаться от лечения и восстановить системные области диска средствами MS-DOS: SYS С: или FDISK /MBR, загрузив предварительно операционную систему с системной дискеты.

Режим /D

Режим /D (Delete) — удаление файлов, корректное лечение которых невозможно. Данный режим работоспособен только вместе с ключом /F (лечение файлов). Режим необходим для того, чтобы без вывода запроса на разрешение удаления разрушенных или инфицированных файлов произвести автоматическое удаление всех файлов, лечение которых не представляется возможным.

Режим /S

Режим /S (эвристический анализ файлов — heu ristic analyse) характеризуется тем, что Dr. Web в этом режиме анализирует файлы и системные области компьютера (загрузочные сектора) на заданном устройстве и пытается обнаружить новые или неизвестные ему вирусы по характерным для вирусов кодовым последовательностям. Если таковые будут найдены, то в этом случае выводится предупреждение о том, что объект, возможно, инфицирован неизвестным вирусом (COM.Virus. EXE.Virus, COM.EXE.Virus, COM TSR.Virus, EXE.TSR Virus. COM.EXE.TSR.Virus, BOOT.Virus или CRYPT.Virus).

Ниже приводятся описания встречающихся терминов в названиях неизвестных вирусов:

COM — вирус, заражающий СОМ-файлы,

EXE — вирус, заражающий ЕХЕ-файлы,

TSR — резидентный вирус,

BOOT — вирус, заражающий загрузочные сектора дисков,

CRYPT — зашифрованный или полиморфный вирус.

Режим эвристического анализа позволяет определять неизвестные вирусы, даже, в сложношифруемых или полиморфных вирусах (уровней полиморфизма 1–5), код, которых от копии к копии, может не совпадать ни на один байт! Наличие строки "CRYPT" при определении неизвестного вируса говорит о наличии расшифровщика в вирусном коде, т. е. что данный вирус является зашифрованным.

В режиме эвристического анализа можно задавать 3 различных уровня анализа файлов: минимальный, оптимальный и "параноический". Без указания уровня анализа устанавливается режим оптимального уровня эвристического анализа (/S1)

Процент определения неизвестных вирусов, при практическом тестировании на коллекции вирусов, состоящей из 6500 различных экземпляров, для режимов работы эвристического анализатора составил следующие значения: минимальный 78 % оптимальный — 80 %, "параноик" — 85 %.

В "параноическом" режиме эвристического анализатора Dr. Web возможно появление сообщения о том, что объект "возможно инфицирован CRYPT.Virus" без указания некоторых вирусных признаков (COM, EXE, TSR). Это говорит о том, что Dr. Web не детектировал объект (файл или Boot-сектор) как инфицированный "явным" вирусным кодом, но программой Dr. Web было детектировано присутствие в данном объекте некоторого дескриптора, или расшифровщика. Практически, любая зашифрованная программа при тестировании в "параноическом" режиме может детектироваться как возможно инфицированная вирусом CRYPT.Virus. К счастью, таких программ не так уж и много, гораздо меньше, чем шифрованых и полиморфных вирусов.

Очень редко неисполняемые модули (текстовые файлы или файлы данных) также могут детектироваться, как CRYPT.Virus. Т. к. если рассматривать эти файлы, как программы, содержащие ассемблерные инструкции, то иногда в потоке совершенно бестолковых и хаотичных команд вдруг может получиться логически работоспособный, с точки зрения процессора, "расшифровщик", который якобы что-то "расшифровывает", но, естественно, ничего работоспособного произвести не может. Но в данном случае режим "параноика" эвристического анализатора зафиксирует наличие логического декриптора в таком файле и выведет сообщение о подозрении на CRYPT.Virus (рис. П4 2).

Рис. П4.2. Сообщение о подозрении на CRYPT Virus

Также в режиме "параноика" Dr Web дополнительно проверяет файлы на подозрительное время их создания. Некоторые вирусы при заражении файлов устанавливают время их создания на несуществующие значения как признак или идентификатор зараженности данных файлов. Например, для зараженных файлов секунды устанавливаются в значение 62 или их год создания может увеличиться аж на 100! лет.

Рис. П4.3. Сообщение о странном времени создания файлов

В режиме эвристического анализа возможны ЛОЖНЫЕ СРАБАТЫВАНИЯ! Причем процент ложных срабатываний увеличивается в соответствии с повышением "чувствительности" анализатора. Особенно высок процент ложных срабатываний для "параноического" режима работы. В настоящее время, для данной версии, ложные срабатывания обнаружены на следующих файлах (для минимального уровня эвристического анализатора):

Примечание: Данный режим эффективен при тестировании программного обеспечения, появившегося у вас впервые. Необходимо отнестись с осторожностью к программам, которые вы видите в первый раз и на которые эвристический анализатор программы Dr. Web среагировал, как возможно инфицированные.

Время тестирования объектов на указанных устройствах в данном режиме может быть больше в 3 раза, чем время тестирования без режима эвристического анализа. Не стоит впадать в панику, если при тестировании файлов с использованием эвристического анализатора, вы получите сообщение о возможном заражении 1–2 файлов. Как правило, ложные срабатывания эвристического анализатора возникают при сканировании программ, использующих в своей работе операции с файлами (открытие файлов, запись в них), особенно если данные программы являются резидентными.

Режим /U (Unpack)

Позволяет тестировать файлы, упакованные утилитами LZEXE, DLET, PKLITE, ЕХЕРАСК, СОМРАСК, CryptCOM, а также вакцинированные антивирусом CPAV. С помощью данного режима можно восстановить упакованные файлы, если задать режим / UW (Unpack and rcWrite). Необходимо отметить, что, как правило, режим / UW необходим только в экстренных случаях, например, при подозрении на нахождение неизвестного программе Dr. Web вируса "под упаковщиком" в определенном файле. В данном случае можно произвести восстановление данного файла в оригинальное состояние с помощью режима / UW с целью дальнейшего самостоятельного изучения этого объекта на предмет инфицированности. Если же вы не сильны в системном программировании, то вам необходимо забыть о существовании ключа "W", т. к. для обычного тестирования файлов достаточно указать режим /U.

В данном режиме /U Dr. Web производит восстановление, или распаковывание упакованного файла во временный файл, который после этого и подвергается тестированию. После тестирования, если был установлен режим /UW, этот временный файл будет переписан, замещая исходный, и таким образом исходный упакованный файл станет распакованным (или вакцинированный девакцинированным).

Аналогичная замена на распакованный (девакцинированный) файл происходит также при лечении упакованных (вакцинированных) файлов.

Временный файл, предназначенный для распакованного файла, создается на том устройстве, где находится программа Dr. Web, но можно задать для этих целей любое устройство или диск, например /UWC: или /UND:, где С: и D; — имена дисков, на которых будут создаваться временные файлы.

При задании ключа /UN (Unpack and don't print the Name of the compression program) на экран и в файл REPORT.WEB не выводится информация о названии программ, с помощью которых упакованы тестируемые файлы. В данном случае файлы распаковываются и проверяются на наличие вирусов так же, как и при задании ключа /U, но названия утилит-компрессоров игнорируются для лучшего восприятия и поиска необходимой информации на экране и в файле-отчете.

Примечание: диск, используемый для создания временных файлов, должен иметь необходимое свободное пространство. Рекомендуется в качестве устройства для распаковки использовать виртуальный RAM-диск, т. к. скорость работы Dr. Web в этом случае будет намного выше, чем при использовании в качестве устройства для распаковки логического диска "винчестера".

* * *

При использовании программы Dr. Web в пакетных (ВАТ) файлах для тестирования флоппи-дисков может быть необходим режим /N (check only oNe floppy and don't ask another diskette for checking) — тестирование одного флоппи-диска без вопроса о замене дискеты.

Режим /P

В режиме /Р (Print) происходит запись протокола работы Dr. Web в файл, указанный сразу за ключом /Р. Если же имя файла-отчета не указано, то протокол работы будет записываться в файл REPORT.WEB, который находится или будет создан в том же каталоге, где находится программа WEB.EXE. Если введенный за ключом /Р файл (если он указан) пли файл REPORT.WEB уже существует, то вся дальнейшая информация будет дописываться в конец файла-отчета.

Режим /О

Режим /О (Ok) характерен тем. что для всех файлов, в которых во время тестирования не найден вирусный код, будет выведено сообщение "Ok". Например, "C: \NC\NC.EXE — Ok".

Режим /Z

Режим /Z предоставляет возможность взаимодействия программы Dr. Web и программно-аппаратного комплекса "Sheriff", если последний установлен на компьютере пользователя. В качестве параметра необходимо поставить пять первых цифр серийного номера платы "Sheriff".

Режим /В

В режиме /В (Black and white) все сообщения программы Dr.Web будут выведены и режиме монохромного (черно-белого) монитора. Dr. Web самостоятельно не определяет тип монитора при запуске, поэтому если тестирование дисков производится на компьютере, имеющем монохромный монитор, желательно включить данный режим. При включенном режиме /В все сообщения и на цветном мониторе будут представлены в черно-белом формате.

Режим /L

Режим /L (Language) позволяет выводить все сообщения Dr. Web на другом языке. Описываемая версия поддерживает английский язык.

Режим /Н

При включении режима /Н (High memory) производится дополнительное тестирование верхних адресов памяти (640КЬ — 1088Kb) для выявления резидентных вирусов в данной области. Этот режим актуален, если на Вашем компьютере существует возможность загрузки программ в верхнюю память, выше 640Kb в область ПЗУ (Upper Memory Blocks — UMB и High Memory Area — НМА).

* * *

При использовании программы Dr. Web в командных пакетных файлах вырабатываются следующие коды возврата (ERRORLEVEL):

0 — вирусы не обнаружены

1 — обнаружены известные вирусы

2 — обнаружены неизвестные вирусы или подозрительные на вирус файлы

* * *

5. Утилита DISKREET

DISKREET обеспечивает секретность работ, проводимых на ПК, путем шифрования хранимой на дисках информации и санкционирования доступа к ней только по паролю.

С использованием утилиты можно:

— шифровать файлы;

— создавать и обслуживать "секретные" логические диски, называемые NDisk'aми, или скрытыми дисками. N'Disk технически представляет собой скрытый файл, вся информация в котором зашифрована

Доступ к таким дискам осуществляется посредством драйвера DISKREET.SYS, создающего логические приводы и имитирующего доступ через них к NDisk'ам. Вследствие этого использование NDisk'a ничем не отличаются от работы с обычным диском. На NDisk'е можно размещать файловую структуру и обслуживать ее обычными средствами. Однако прежде чем использовать такой диск, его необходимо открыть. Открыть же NDisk можно только зная пароль, установленный при создании диска. В любой момент времени каждый открытый NDisk можно закрыть, исключив тем самым всякую возможность доступа к его содержимому.

Чтобы работать с NDisk'aми, необходимо сначала подключить драйвер DISKREET SYS, для чего следует указать его в команде "DEVICE=" файла CONFIG.SYS и перезагрузить DOS. В процессе перезагрузки вы увидите, что будет создан, по крайней мере, один дополнительный логический привод (необходимое их число устанавливается в подменю Options утилиты). Однако доступ к таким приводам окажется невозможным. Если верхняя память доступа, то драйвер DISKREET.SYS размещается именно в ней, в противном случае в стандартной памяти.

Для размещения менеджера NDisk'oв в стандартной памяти в случае доступности верхней следует использовать переключатели /NOHМА и /SKIPUMB, поместив в файл CONFIG.SYS строку вида

Переключатель /NOHMA запрещает использование НМА-памяти, — /SKIPUMB — UMB-памяти.

Подчеркнем, что DISKREET не способна предотвратить обновление, копирование и удаление информации на физических дисках (в том числе зашифрованных файлов и NDisk'oв). Она предохраняет лишь данные и программы от просмотра и выполнения.

Режим командной строки

Утилита запускается командной строкой вида

или

или

или

Если задан хотя бы один переключатель, то выполняются лишь предписанные в командной строке действия в недиалоговом или полуавтоматическом режиме. Иначе DISKREET входит в диалоговый режим. При обработке файлов этот режим принципиально необходим только для установки опций, остальные же действия могут быть специфицированы переключателями в командной строке. Однако в случае работы с NDisk'ами без диалогового режима не обойтись. Только в нем могут быть выполнены все необходимые подготовительные операции, а также некоторые действия по открытию и закрытию NDisk'oв.

Рис. П5.1. Главное окно утилиты DISKREET

Недиалоговый же режим играет роль вспомогательного, обеспечивая выполнение ряда действий:

/CLOSE — закрыть все NDisk'и;

/ON — разблокировать драйвер DISKREET.SYS:

/OFF — заблокировать драйвер DISKREET.SYS;

/SHOW: d — показать NDisk в скрытом приводе d;

/ HIDE: d — скрыть NDisk в скрытом приводе d (установить у эмулирующего его файла атрибут Н);

/ENCRYPT: pattern — зашифровать файлы, сопоставимые с шаблоном pattern и записать их в единый файл (имя целевого файла запрашивается);

/DECRYPT: — расшифровать файл (восстановить все содержащиеся в нем файлы);

/PASSWORD: пароль — использовать при шифровании или расшифровке указанный пароль (если переключатель не задан, то пароль будет запрошен).

Диалоговый режим

Главное меню утилиты содержит следующие пункты-

File — для обработки файлов и установки необходимых опций;

NDisks — для работы с NDisk'ами;

Options — для конфигурирования утилиты по работе с N'Disk'aми;

Quit — для выхода из утилиты.

Так как обработка файлов и работа с NDisk'ами независимы, рассмотрим эти режимы раздельно.

Обработка файлов

При выборе пункта Options главного меню открывается подменю, одним из пунктов которого является "File…", открывающий диалог "File Encryption options", который служит для выбора метода шифрования, способа обработки исходных файлов после их шифрования, а также задания атрибутов результирующего (целевого) файла с зашифрованными данными. Диалоговое окно показано на рис. П5.2.

В качестве метода шифрования можно специфицировать один из следующих:

Рис. П5.2. Диалоговое окно File Encryption Options

Fast proprietary method — быстрый собственный метод (разработанный создателем утилиты), за скорость которого приходится расплачиваться увеличением вероятности расшифровки информации посторонними лицами;

DES — более медленный, но обеспечивающий высокую степень секретности метод (он является стандартом правительства США).

Дополнительно к этому предоставляется возможность включить следующие опции:

Delete Original Files After Encryption — после шифрования исходные файлы удаляются и занимаемое ими дисковое пространство заполняется нулями, исключая восстановление данных в незашифрованном виде;

Ask Whether to Delete Original Files — выдать запрос перед удалением файла;

Mule Encrypted File — установить для зашифрованного файла атрибут H (скрытый);

Make Encrypted File Read-Only — установить для зашифрованного файла атрибут R (только чтение);

Use Same Password for Entire Session — использовать для всего текущего сеанса работы по шифрованию и расшифровке файлов одни и тог же пароль (исключает запросы пароля перед каждой операцией, пароль запрашивается только однажды за весь сеанс).

В любом случае исходные файлы после шифрования их содержимого будут удалены. Для сохранения в файле NORTON.INI установленной конфигурация утилиты по обработке файлов с целью ее использования как в текущем, так и в последующих сеансах работы следует выдать подкоманду Save, а для использования только в текущем сеансе работы без сохранения на будущее подкоманду ОК. С целью отмены только что сделанных установок нужно выдать подкоманду Cancel или просто нажать клавишу . В любом случае будет произведен возврат в подменю "File".

При выборе пункта "File" главного меню раскрывается подменю, содержащее команды Encrypt и Decrypt.

Команда Encrypt

Команда Encrypt (оперативный вариант + на главном экране) обеспечивает шифрование заданного файла или заданной шаблоном группы файлов. После ее выдачи открывается стандартное диалоговое окно, в котором можно задать спецификацию шаблона исходных файлов явно или выбрать файл в области File, возможно, прибегая к смене привода и каталога в областях Drive и Directories соответственно.

Рис. П5.3. Диалоговое окно выбора файла для шифрования

Вслед за этим открывается диалоговое окно, в котором будет предложено задать идентификатор целевого файла. Он не должен совпадать ни с одним из идентификаторов исходных файлов (на том же месте шифровать файлы нельзя). По умолчанию в окне показывается имя одного из исходных файлов, но с расширением. SEC. Можно согласиться с этим, выдав подкоманду ОК, или изменить спецификацию.

Шифруемая группа файлов будет объединяться в один файл с возможностью их последующего восстановления с исходными именами.

В следующем диалоговом поле пользователю следует ввести пароль (password), содержащий не менее шести произвольных символов (рис. П5.4).

Рис. П5.4. Диалоговое окно введения пароля

При наборе пароля в целях безопасности отображаются на экране звездочками. Чтобы исключить возможность ошибки, пользователь должен ввести пароль повторно (Re-Enter password). В случае его совпадения с первоначально заданным, исходный файл (файлы) шифруются, о чем выдаются сообщения, соответствующие заданным опциям (рис. П5.5).

Рис. П5.5. Сообщение об окончании шифрования

Команда Decrypt

Команда Decrypt служит для расшифровки файла. Этот процесс, обратный шифрованию, реализуется аналогично. Пользователю в последовательно открывающихся диалоговых окнах следует:

1) специфицировать или выбрать исходный файл (скрытый файл можно задать только явно);

2) ввести правильный пароль (тот, который был указан при шифровании);

3) дождаться окончания расшифровки файлов, которые получат свои первоначальные имена.

Исходный (зашифрованный) файл при атом уничтожается. Особая ситуация возникает в случае, когда расшифрованный файл уже существует (конечно, исходя из его идентификатора, а не содержимого).

При ее возникновении в открывшемся диалоговом окне выдается сообщение "File already exists" ("Файл уже существует") и предлагается выбрать один из двух вариантов продолжения работы:

Overwrite — перезапись файла;

Skip — пропустить файл.

Если будет выбран вариант Skip, то откроется следующее диалоговое окно, в котором предлагается указать:

Re-Encrypt — зашифровать файл заново (т. е. вернуть данный файл в исходное зашифрованное состояние) и продолжить расшифровку остальных файлов;

Delete — удалить расшифровываемый файл (его содержимое будет, возможно, безвозвратно потеряно, а существующий целевой обновлен не будет).

На рис. П5.6. представлены результаты шифрования файла igor.txt: вверху в исходном виде, внизу — после шифрования.

Рис. П5.6. Результаты шифрования файла igor.txt

Работа со скрытыми дисками

Для обслуживания NDisk'oe используются команды меню "NDisks" и "Options".

При запуске утилиты DISKREET производится автоматический поиск всех созданных на винчестере NDisk'oв (поиск на дискетах осуществляется только по специальному указанию, о чем речь пойдет ниже).

В случае, когда ни один из скрытых дисков не найден, появляется сообщение "No NDisks Found" (см. рис. П5.1). Впоследствии пользователь сможет создать любое количество "секретных" дисков.

Если хотя бы один NDisk найден, то на экране монитора появляется соответствующая информация, которая описывает скрытый диск и имеет следующие поля:

File Name — имя файла на обычном логическом диске, в котором находится содержимое \: Disk'a (расширением этого файла всегда будет.@# 1, а сам файл всегда является скрытым);

Size — размер NDisk a; Parent Drive — имя родительского, или базового, привода, т. е. логического дисковода, в котором находится содержащий NDisk логический диск.

Auto Drive — логический привод (созданный драйвером DISKREET.SYS), на котором может быть или уже "установлен" Ndisk;

Audit Info — информация о попытке доступа к Ndisk'у.

Read-Only — информация о назначении Ndisk'у атрибута R.

Description — метка тома, назначенная NDisk'y при его создании. Именно эта метка, а не имя файла, будет идентифицировать "секретный" диск в ходе диалога с утилитой, а также при его открытии вне утилиты;

Encryption — метод шифрования.

Открытые NDisk'а отмечаются на панели, что означает, что "секретный" диск "установлен" в привод и доступен для чтения, а также, возможно, и для записи. Для закрытых NDisk'oв список логических дисководов информирует лишь о том, куда, скорее всего, будет установлен NDisk при его открытии из утилиты или куда он однозначно будет установлен при его открытии вне утилиты. Закрытые NDisk'и считаются неустановленными. N'Disk'oв может быть больше, чем специально предназначенных для их приводов. Однако одновременно открыть можно только то количество NDisk'oв, которое определяется числом логических приводов для них. Установление соответствия NDisk'a приводу производится при открытии NDISK'a.

В таблице NDisk'oв имеется маркер, который можно перемещать по строкам. Команды меню "NDisks" будут примениться только к промаркированному NDisk'y.

Опишем назначение и порядок выполнения команд подменю NDisks и "Options". При открытии пункта главного меню "Ndisks" становятся доступными опции, представленные на рис. П5.7.

Рис. П5.7. Команды подменю NDisks

Create

Команда Create служит для создания нового NDisk'a. После ее выдачи вам будет предложено выбрать базовый привод. Затем откроется диалоговое окно, которое служит для задания логических характеристик создаваемого NDisk'a. В этом окне, как минимум, необходимо специфицировать имя файла (Kile Name), которым будет эмулироваться "секретный" диск. Однако лучше указать и метку (Description). Если же последняя окажется незаданной, то вместо нее в диалогах будет использоваться имя файла.

В других областях можно задать различные опции, которые затем можно изменить с помощью команды Edit.

Если вы включите опцию в области "Audit", то при открытии NDisk'a будет выдаваться справка о попытках доступа к нему за вес время его существования.

Область "Encryption" служит для выбора одного их двух методов шифрования содержимого NDisk'a, как и для файлов.

В области "Password" специализируется способ открытия NDisk'a и запроса пароля. Так, введение пароля можно осуществлять либо в ответ на соответствующее приглашение системы, либо на звуковой сигнал, либо автоматически.

После выдачи подкоманды ОК открывается диалоговое окно, в котором требуется установить размер создаваемого NDisk'a. В области "Parent Drive Summary" отображается справочная информация о распределении памяти на диске в базовом приводе:

Total — общий объем;

Used — размер используемой области;

Free — объем свободной области.

В непоименованной области вам следует выбрать один из трех вариантов:

All available space — все доступное пространство на диске в базовом приводе;

Half of available space — половину свободной области на диске в базовом приводе;

Size — определенный размер, в Кбайт.

Выдав подкоманду OK, вы продолжите работу.

Утилита предложит вам дважды ввести пароль, который будет использоваться при открытии NDisk'a изменении его размера или смене пароля. Специфицированный пароль необходимо непременно хорошо запомнить, так как иначе никакими средствами нельзя будет осуществить доступ к созданному "секретному" диску, вы будете предупреждены об этом в окне Caution. В завершение создания NDisk'a откроется окно, в которое следует выбрать логический привод для его "установки". В результате описанных действий будет создан новый Ndisk с заданными в ходе диалога логическими и физическими характеристиками, и этот NDisk окажется открытым.

NDisk создается только в случае, когда для его монтирования и открытия имеется свободный привод. Поэтому вам, возможно, предварительно придется закрыть какой-нибудь Ndisk.

Edit

Команда Edit предназначена для редактирования параметров промаркированного на панели предварительно закрытого Ndisk'a. Диалоговое окно команды похоже на диалоговое окно команды Create.

Перед редактированием утилита запросит у вас пароль. Вы можете изменить следующие параметры Ndisk'oв:

Name — имя из 8 символов без пробела

Location — дисковод или жесткий диск;

Description — описание Ndisk'a;

Size — желаемый размер Ndisk'a в Кбайт;

Encryption Method — выбор одного из двух методов шифрования, как и для файлов;

Show Audit Infon — информация об удачных (и неудачных) доступах к диску;

Promt, Promt At — способ введения пароля.

Auto Drive — автоматическое "открытие" Ndisk'a после включения ПК. При это отпадает необходимость запуска программы DISKREET в интерактивном режиме. В этом случае доступ к диску осуществляется введением пароля.

Password

Команда Password предназначена для замены пароля у промаркированного на панели предварительно закрытого NDisk'a. Вслед за ее выбором будет открыто окно с описанием назначения пароля. Выдайте подкоманду Proceed и затем введите правильный текущий пароль (Current Password). Откроется еще одно предупреждающее окно, в котором нужно выбрать Change. Вслед за этим вам будет предложено аменить метку (Description) NDisk'a, после чего следует дважды ввести пароль (New Password). Наконец, откроется диалоговое окно с предложением выбрать один из двух методов смены пароля:

Quick — быстрый метод (производится лишь замена пароля);

Secure — полный метод (производится как замена пароля, так и повторное шифрование содержимого NDisk'a).

Отметим, что описанная операция не изменяет пароли зашифрованных файлов, пароли других NDisk'ов и главный пароль.

Delete

Для удаления Ndisk'a выберите его в главном окне и выполните команду Delete.

Search

Команда Search floppies (оперативный вариант — + ) предназначена для явного указания дисковода, где утилита должна осуществить поиск на дискете NDisk'ов (напомним, что на жестком диске они отыскиваются автоматически). Эта команда выдается тогда, когда пользователь хочет получить доступ, в частности, с целью открытия, к "секретному" диску, созданному на дискете. В открывшемся диалоговом окне нужно будет выбрать привод из предложенного списка.