Эта программа предназначена прежде всего для борьбы с полиморфными вирусами, которые сравнительно недавно появились в компьютерном мире. Использование Dr. Web для проверки дисков и удаления обнаруженных вирусов в целом подобно программе Aidstest. При этом дублирования проверки практически не происходит, так как Aidstest и Dr.Web работают на разных наборах вирусов.
Программа Dr.Web может эффективно бороться со сложными вирусами-мутантами, которые оказываются не под силу программе Aidstest. В отличие от Aidstest программа Dr.Web способна обнаруживать изменения в собственном программном коде, эффективно определять файлы, зараженные новыми, неизвестными вирусами, проникая в зашифрованные и упакованные файлы, а также преодолевая вакцинное прикрытие. Это достигается благодаря наличию достаточно мощного эвристического анализатора.
В режиме эвристического анализа программа Dr.Web исследует файлы и системные области дисков, пытаясь обнаружить новые или неизвестные ей вирусы по характерным для вирусов кодовым последовательностям. Если таковые будут найдены, то выводится предупреждение о том, что объект, возможно, инфицирован неизвестным вирусом.
Предусмотрены три уровня эвристического анализа. В режиме эвристического анализа возможны ложные срабатывания, т.е. детектирование файлов, не являющихся зараженными. Уровень эвристики подразумевает собой уровень анализа кода без наличия ложных срабатываний. Чем выше уровень эвристики, тем выше процент наличия ошибок или ложных срабатываний. Рекомендуются первые два уровня работы эвристического анализатора.
Третий уровень эвристического анализа предусматривает дополнительную проверку файлов на подозрительное время их создания. Некоторые вирусы при заражении файлов устанавливают некорректное время создания, как признак зараженности данных файлов. Например, для зараженных файлов секунды могут иметь значение 62, а год создания может быть увеличен на 100 лет.
В комплект поставки антивирусной программы Dr.Web могут входить также файлы-дополнения к основной вирусной базе программы, расширяющие ее возможности.
Работать с программой Dr. Web можно в двух режимах:
- в режиме полноэкранного интерфейса с использованием меню и диалоговых окон;
- в режиме управления через командную строку.
Для разового нерегулярного применения более удобен первый режим, но для регулярного применения с целью систематического входного контроля дискет лучше применять второй режим. При использовании второго режима соответствующая команда запуска Dr. Webдолжна быть включена либо в меню пользователя операционной оболочки Norton Соmmander, либо в специальный командный файл.
Командная строка для запуска Dr. Web выглядит следующим образом:
DrWeb [диск: [путь] ] [ключи]
где диск:
Х: — логическое устройство жесткого диска или физическое устройство гибкого диска, например F: или А:,
* — все логические устройства на жестком диске,
путь — это путь или маска требуемых файлов.
Наиболее важные ключи:
/AL — диагностика всех файлов на заданном устройстве;
/CU[P] — лечение дисков и файлов, удаление найденных вирусов;
P — удаление вирусов с подтверждением пользователя;
/DL — удаление файлов, корректное лечение которых невозможно;
/НА[уровень] — эвристический анализ файлов и поиск в них неизвестных вирусов, где уровень может принимать значения О, 1, 2;
/RР[имя файла] — запись протокола работы в файл (по умолчанию в файл REPORT. WEB);
/CL — запуск программы в режиме командной строки, при тестировании файлов и системные областей не используется полноэкранный интерфейс;
/QU — выход в DOS сразу после тестирования;
/? — вывод на экран краткой справки.
Если в командной строке Dr.Web не указано ни одного ключа, то вся информация для текущего запуска будет считываться из файла конфигурации DRWEB.INI, расположенного в том же каталоге, что и файл DRWEB.EXE. Файл конфигурации создается в процессе работы с программой Dr.Web с помощью команды сохранения параметров, необходимых для тестирования.
Пример 2. Запуск антивирусной программы Dr.Web для проверки и лечения диска В:. Обнаруженные зараженные файлы будут вылечены. Проверке подлежат все файлы диска. Если файл вылечить не удастся, то программа будет просить разрешение на его удаление. Для поиска вирусов должен использоваться эвристический уровень анализа 1. Программа должна выполняться только в режиме командной строки с выходом в DOS после завершения тестирования:
DrWeb В: /AL /CUP /HA1 /QU / CL
Технология работы с программой Dr. Web в режиме полноэкранного интерфейса.Для запуска в режиме полноэкранного интерфейса достаточно ввести в командную строку только имя программы. Сразу после загрузки программы начнется тестирование оперативной памяти компьютера, если оно не отключено предыдущей установкой параметров. Ход тестирования отображается в окне тестирования. После завершения тестирования памяти произойдет остановка. Работу программы можно продолжить, если воспользоваться основным меню, расположенным в верхней строке экрана. Для активизации меню следует нажать клавишу .
Основное меню содержит следующие режимы:
Dr.WebТест Настройки Дополнения
При выборе любого режима открывается соответствующее подменю.
Подменю Dr.Web позволяет временно выйти в DOS, получить краткую информацию о программе Dr.Web и о ее авторе или покинуть программу.
Подменю Тест дает возможность выполнить основные операции тестирования и ?лечения файлов и дисков, а также просмотреть отчеты о произведенных действиях.
Подменю Настройки служит для установки с помощью диалоговых окон параметров настройки программы, установки путей и масок поиска и сохранения параметров в файле конфигурации DRWEB.INI.
Для подключения файлов-дополнений к основной вирусной базе программы, расширяющих ее возможности, используется режим Дополнения.
