Эта статья о том, антивирусном программном обеспечении. Для применения эвристики в оценке юзабилити см эвристической оценки .

Эвристический анализ представляет собой метод, используемый многими компьютерными антивирусными программами, предназначенными для обнаружения ранее неизвестных компьютерных вирусов , а также новые варианты вирусов уже в «дикой природе».

Эвристический анализ является на основе экспертного анализа, который определяет восприимчивость системы к особой угрозе / риска с использованием различных правил принятия решений или методов взвешивания. Анализ Многокритериальный (MCA), является одним из средств взвешивания. Этот метод отличается от статистического анализа, который опирается на имеющихся данных / статистике.

операция

Большинство антивирусных программ, которые используют эвристический анализ выполнения этой функции, выполнив команды программирования из сомнительной программы или сценария в специализированной виртуальной машине , тем самым позволяя антивирусную программу внутренне имитировать то, что произошло бы, если подозрительный файл должны были быть выполнены при сохранении подозрительный код, выделенный из реального мира машины. Затем он анализирует команды, как они выполняются, мониторинг распространенных вирусных мероприятий, таких как репликация, файл перезаписывает и пытается скрыть существование подозрительного файла. Если один или несколько вирусов, как действия будут обнаружены, подозрительный файл помечен как потенциальный вирус, и пользователь насторожить.

Другой распространенный метод эвристического анализа для антивирусной программы, чтобы декомпилировать подозрительную программу, а затем анализировать машинный код, содержащийся внутри. Исходный код подозрительного файла сравниваются с исходным кодом известных вирусов и вирусоподобной деятельности. Если определенный процент от исходного кода совпадает с кодом известных вирусов или вирусов, как деятельности, файл помечен, и пользователь насторожить.

эффективность

Эвристический анализ позволяет обнаруживать многие ранее неизвестные вирусы и новые варианты текущих вирусов. Тем не менее, эвристический анализ работает на основе опыта (сравнивая подозрительный файл с кодом и функцией известных вирусов). Это означает, что, скорее всего, пропустить новые вирусы, которые содержат ранее неизвестные методы работы не нашли в одном из известных вирусов. Следовательно, эффективность довольно низкая в отношении точности и количества ложных срабатываний .

Поскольку новые вирусы обнаруживаются человеческими исследователями, информация о них добавляется эвристическим анализ двигателя, тем самым обеспечивая двигатель средство для обнаружения новых вирусов.

Что такое эвристический анализ?

Эвристический анализ представляет собой метод обнаружения вирусов путем анализа кода подозрительных свойств.

Традиционные методы обнаружения вирусов вовлекают выявления вредоносных программ путем сравнения кода в программе с кодом известных типов вирусов, которые уже столкнулись, проанализированы и записаны в базе данных - известных как обнаружение подписи.

В то время как полезные и до сих пор используется метод сигнатурного обнаружения также стал более ограниченным, в связи с развитием новых угроз, которые взрывались на рубеже веков и продолжают появляться все время.

Для решения этой проблемы, эвристическая модель была специально разработана, чтобы выявить подозрительные признаки, которые могут быть найдены в неизвестный, новых вирусы и модифицированные версии существующих угроз, а также известных образцов вредоносных программ.

Киберпреступники постоянно разрабатывают новые угрозы, и эвристический анализ является одним из немногих методов, используемых для борьбы с огромным объемом этих новых угроз видели ежедневно.

Эвристический анализ также является одним из немногих методов, способных борьбы полиморфных вирусов - термин для вредоносного кода, который постоянно меняется и адаптируется. Эвристический анализ включены передовые решения безопасности, предлагаемые такими компаниями, как Kaspersky Labs, чтобы обнаружить новые угрозы, прежде чем они причинить вред, без необходимости конкретной подписи.

Какая Эвристический анализ работа?

Эвристический анализ позволяет использовать множество различных методик. Один эвристический метод, известный как статический эвристический анализ, включает в себя декомпиляцию подозрительной программы и рассматривают его исходный код. Этот код сравниваются с вирусами, которые уже известны и находятся в эвристических базах данных. Если какой-то процент от исходного кода совпадает с записью в базе данных эвристических, код помечен как возможная угроза.

Другой метод известен как динамические эвристики. Когда ученые хотят анализировать что-то подозрительное, не подвергая опасности людей, они содержат вещества в контролируемой среде, как защищенной лаборатории и проведение испытаний. Этот процесс аналогичен для эвристического анализа - но и в виртуальном мире.

Она изолирует подозрительные программы или кусок кода внутри специализированной виртуальной машины - или песочницы - и дает антивирусной программе шанс проверить код и симулировать, что произойдет, если подозрительный файл был разрешено работать. Он рассматривает каждую команду, как это срабатывает, и ищет любые подозрительные поведения, например, самовоспроизведению, перезапись файлов, а также другие действия, которые являются общими для вирусов. Потенциальные проблемы

Эвристический анализ идеально подходит для выявления новых угроз, но, чтобы быть эффективными эвристики должны быть тщательно отрегулированы с целью обеспечения наилучшего обнаружения новых угроз, но без генерации ложных срабатываний на совершенно невинный коде.

Поиск вирусов, похожих на известные

Эвристика - значит, "находить". Эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Поэтому в антивирусных базах находятся сигнатуры для определения не одного, а сразу нескольких вирусов. Следовательно, эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.

Преимущества: возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры.

Недостаток:

• · вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист - такие события называются ложными срабатываниями;
• · невозможность лечения - и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо;
• · низкая эффективность - против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден.

Поиск вирусов, выполняющих подозрительные действия

Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру, и основан на выделении основных вредоносных действий.

Например:

• · удаление файла;
• · запись в файл;
• · запись в определенные области системного реестра;
• · открытиепортанапрослушивание;
• · перехват данных вводимых с клавиатуры;
• · рассылкаписем;

Выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Однако, при выполнении программой последовательно нескольких таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа, по меньшей мере, подозрительна. Основанный на этом принципе эвристический анализатор постоянно следит за действиями, которые выполняют программы.

Преимущества: возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные (использование для проникновения на компьютер новую уязвимость, а после этого - выполнять уже привычные вредоносные действия). Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.

Недостатки:

• · ложные срабатывания;
• · невозможность лечения;
• · не высокая эффективность.

Вы можете пользоваться антивирусным программным обеспечением, не имея представления о том, как оно устроено. Однако, в настоящее время существует очень много антивирусных программ, так что вам так или иначе придется на чем-то остановить свой выбор. Чтобы этот выбор был по возможности обоснован и установленные программы обеспечивали максимальную степень защиты от вирусов, необходимо изучить методики, применяемые этими программами.

Существует несколько основопологающих методик обнаружения и защиты от вирусов. Антивирусные программы могут реализовывать только некоторые методики или их комбинации.

· Сканирование

· Обнаружение изменений

· Эвристический анализ

· Резидентные мониторы

· Вакцинирование программ

· Аппаратная защита от вирусов

Кроме того, большинство антивирусных программ обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов.

Объекты заражения

В первой главе мы уже рассказали о различных типах вирусов и о способах их распространения. Перед тем как приступить к рассмотрению антивирусных средств, перечислим области файловой системы компьютера, которые подвергаются заражению вирусами и которые необходимо проверять:

· Выполнимые файлы программ, драйверов

· Главная загрузочная запись и загрузочные секторы

· Файлы конфигурации AUTOEXEC.BAT и CONFIG.SYS

· Документы в формате текстового процессора Microsoft Word for Windows

Когда резидентный вирус становится активным, он помещает свой постоянно работающий модуль в оперативной памяти компьютера. Поэтому антивирусные программы должны выполнять проверку оперативной памяти. Так как вирусы могут использовать не только стандартную память, то желательно выполнять проверку верхней памяти. Например, антивирус Doctor Web проверяет первые 1088 Кбайт оперативной памяти.

Сканирование

Самая простая методика поиска вирусов, заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

Определение сигнатуры вируса довольно сложная задача. Сигнатура не должна содержаться в нормальных программах, не зараженных данным вирусом. В противном случае возможны ложные срабатывания, когда вирус обнаруживается в совершенно нормальной, не зараженной программе.

Конечно, программам-сканерам не обязательно хранить в себе сигнатуры всех известных вирусов. Они могут, например, хранить только контрольные суммы сигнатур.

Антивирусные программы-сканеры, которые могут удалить обнаруженные вирусы, обычно называются полифагами. Самой известной программой-сканером является Aidstest Дмитрия Лозинского. Aidstest выполняет поиск вирусов по их сигнатурам. Поэтому он обнаруживает только простейшие полиморфные вирусы.

В первой главе мы рассказывали о так называемых шифрующихся и полиморфных вирусах. Полиморфные вирусы полностью изменяют свой код при заражении новой программы или загрузочного сектора. Если вы выделите два экземпляра одного и того же полиморфного вириуса, то они могут не совпадать ни в одном байте. Как следствие, для таких вирусов невозможно определить синатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.

Антивирусные программы-сканеры могут обнаружить только уже известные вирусы, которые были предварительно изучены и для которых была определена сигнатура. Таким образом, использование программ-сканеров не защищает ваш компьютер от проникновения новых вирусов.

Для эффективного использования антивирусных программ, реализующих метод сканирования, необходимо постоянно обновлять их, получая самые последние версии.

Эвристический анализ

Эвристический анализ является относительно новым методом в обнаружении вирусов. Он позволяет обнаруживать ранее неизвестные вирусы, причем для этого не надо предварительно собирать данные о файловой системе, как этого требует метод обнаружения изменений.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Так например, эвристический анализатор может обнаружить, что в проверяемой программе присутствует код, устанавливающий резидентный модуль в памяти.

Антивирусная программа Doctor Web, входящая в состав комплекта AO “ДиалогНаука”, имеет мощный эвристический анализатор, позволяющий обнаружить большое количество новых вирусов.

Если эвристический анализатор сообщает, что файл или загрузочный сектор возможно заражен вирусом, вы должны отнестись к этому с большим вниманием. Желательно исследовать такие файлы с помощью самых последних версий антивирусных программ или направить их для детального изучения в АО “ДиалогНаука”.

В комплект IBM AntiVirus входит специальный модуль, ориентированный на обнаружение вирусов в загрузочных секторах. Этот модуль использует запатентованную технологию (patent-pending neural network technology from IBM) эвристического анализа и позволяет определить, заражен ли загрузочный сектор вирусом.

Обнаружение изменений

Когда вирус заражает компьютер, он обязательно делает изменения на жестком диске, например, дописывает свой код в выполнимый файл, добавляет вызов программы-вируса в файл AUTOEXEC.BAT, изменяет загрузочный сектор, создает файл-спутник.

Антивирусные программы могут предварительно запомнить характеристики всех областей диска, которые подвергаются нападению вируса, а затем периодически проверять их (отсюда происходит их название программы-ревизоры). Если будет обнаружено изменение, тогда возможно что на компьютер напал вирус.

Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, параметры всех контролируемых файлов, а также информацию о структуре каталогов и номера плохих кластеров диска. Могут проверяться и другие характеристики компьютера - объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.

Программы-ревизоры могут обнаружить большинство вирусов, деже тех, которые ранее не были известны. Вирусы, заражающие файлы программ только при их копировании, ревизоры как правило обнаружить не могут, так как они не знают параметров файла, которые были до копирования.

Однако следует учитывать, что не все изменения вызваны вторжением вирусов. Так, загрузочная запись может изменится при обновлении версии операционной системы, а некоторые программы записывают внутри своего выполнимого файла данные. Командные файлы изменяются еще чаще, например, файл AUTOEXEC.BAT обычно изменяется во время установки нового программного обеспечения.

Программы-ревизоры не помогут и в том случае, когда вы записали в компьютер новый файл, зараженный вирусом. Правда, если вирус заразит другие программы, уже учтенные ревизором, он будет обнаружен.

Простейшая программа-ревизор Microsoft Anti-Virus (MSAV) входит в состав операционной системы MS-DOS. Основным, и возможно единственным ее достоинством является то, что на нее не нужно дополнительно тратить деньги.

Значительно более развитые средства контроля предоставляет программа-ревизор Advanced Diskinfoscope (ADinf), входящая в состав антивирусного комплекта АО “ДиалогНаука”. Более подробно мы рассмотрим эти средства в следующем разделе, а сейчас только заметим, что вместе с ADinf вы можете использовать лечащий модуль ADinf Cure Module (ADinfExt). ADinf Cure Module использует собранную ранее информацию о файлах для восстановления их после поражения неизвестными вирусами.

Конечно, не все вирусы могут быть удалены ADinf Cure Module и другими программными средствами, основанными на контроле и периодической проверке компьютера. Например, если новый вирус шифрует диск, как это делает вирус OneHalf, тогда его удаление без расшифровки диска скорее всего приведет к потере информации. Вирусы такого типа могут быть удалены только после внимательного изучения специалистами и включения модулей для борьбы с ними в обычные полифаги - Aidstest или Doctor Web.

Известные нам на момент написания книги антивирусные программы-ревизоры непригодны для обнаружения вирусов в файлах документов, так как они по своей сути постоянно изменяются. Ряд программ после внедрения в них кода вакцины перестают работать. Поэтому для контроля за ними следует использовать программы-сканеры или эвристический анализ.

Резидентные мониторы

Существует еще целый класс антивирусных программ, которые постоянно находятся в оперативной памяти компьютера, и отслеживают все подозрительные действия, выполняемые другими программами. Такие программы носят название резидентных мониторов или сторожей.

Резидентный монитор сообщит пользователю, если какая-либо программа попытается изменить загрузочный сектор жесткого диска или дискеты, выполнимый файл. Резидентный монитор сообщит вам, что программа пытается оставить в оперативной памяти резидентный модуль и т. д.

Большинство резидентных мониторов позволяют автоматически проверять все запускаемые программы на заражение известными вирусами, тоесть выполняют функции сканера. Такая проверка будет занимать некторое время и процесс загрузки программы замедлится, но зато вы будете уверены, что известные вирусы не смогут активизироваться на вашем компьютере.

К сожалению, резидентные мониторы имеют очень много недостатков, которые делают этот класс программ малопригодными для использования.

Многие программы, даже не содержащие вирусов, могут выполнять действия, на которые реагируют резидентные мониторы. Например, обычная команда LABEL изменяет данные в загрузочном секторе и вызывает срабатывание монитора.

Поэтому работа пользователя будет постоянно прерываться раздражающими сообщениями антивируса. Кроме того, пользователь должен будет каждый раз решать, вызвано ли это срабатывание вирусом или нет. Как показывает практика, рано или поздно пользователь отключает резидентный монитор.

И наконец, самый маленький недостаток резидентных мониторов заключается в том, что они должны быть постоянно загружены в оперативную память и, следовательно, уменьшают объем памяти, доступной другим программам.

В составе операционной системы MS-DOS уже есть резидентный антивирусный монитор VSafe.

Вакцинирование программ

Для того, чтобы человек смог избежать некоторых заболеваний, ему делают прививку. Существует способ защиты программ от вирусов, при котором к защищаемой программе присоединяется специальный модуль контроля, следящий за ее целостностью. При этом может проверяться контрольная сумма программы или какие-либо другие характеристики. Когда вирус заражает вакцинированный файл, модуль контроля обнаруживает изменение контрольной суммы файла и сообщает об этом пользователю.

Увы, в отличие от прививок человеку, вакцинирование программ во многих случаях не спасает их от заражения. Стелс-вирусы легко обманывают вакцину. Зараженные файлы работают также как обычно, вакцина не обнаруживает заражения. Поэтому мы не станем останавливаться на вакцинах и продолжим рассмотрение других средств защиты.

Аппаратная защита от вирусов

На сегодняшний день одним из самых надежных спсобов защиты компьютеров от нападений вирусов являются аппаратно-программные средства. Обычно они представляют собой специальный контроллер, вставляемый в один из разъемов расширения компьютера и программное обеспечение, управляющее работой этого контроллера.

Благодаря тому, что контроллер аппаратной защиты подключен к системной шине компьютера, он получает полный контроль над всеми обращениями к дисковой подсистеме компьютера. Программное обеспечение аппаратной защиты позволяет указать области файловой системы, которые нельзя изменять. Вы можете защитить главную загрузочную запись, загрузочные сектора, выполнимые файлы, файлы конфигурации и т. д.

Если аппаратно-программный комплекс обнаружит, что какая-либо программа пытается нарушить установленную защиту, он может сообщить об этом пользователю и заблокировать дальнейшею работу компьютера.

Аппаратный уровень контроля за дисковой подсистемой компьютера не позволяет вирусам замаскировать себя. Как только вирус проявит себя, он сразу будет обнаружен. При этом совершенно безразлично, как работает вирус и какие средства он использует для доступа к дискам и дискетам.

Аппаратно-программные средства защиты позволяют не только защитить компьютер от вирусов, но также вовремя пресечь работу троянских программ, нацеленных на разрушение файловой системы компьютера. Кроме того аппаратно-программные средства позволяют защитить компьютер от неквалифицированного пользователя и злоумышленника, они не дадут ему удалить важную информацию, отформативать диск, изменить файлы конфигурации.

В настоящее время в России серийно производится только аппаратно-программный комплекс Sheriff. Он надежно предотвратит заражение компьютера, позволит пользователю тратить значительно меньше времени на антивирусный контроль компьютера обычными программными средствами.

За рубежом производится намного больше средств аппаратно-программной защиты, но их цена занчительно выше, чем у Sheriff и составляет несколько сотен американских долларов. Вот несколько названий таких комплексов:

Наименование комплекса	Изготовитель
	JAS Technologies of the Americas
	Leprechaum Software International
	Digital Enterprises
	G lynn Internati onal
	Swabian Electronics Reutlingen
	Telstar Electronics
	Bugovics & Partner

Помимо выполнения своей основной функции, аппаратно-программные средства защиты компьютера могут обеспечивать различный дополнительный сервис. Они могут управлять разграничением прав доступа различных пользователей к ресурсам компьютера - жестким дискам, дисководам и т. д.

Защита, встроенная в BIOS компьютера

Многие фирмы, выпускающие системные платы компьютеров, стали встраивать в них простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет. В случае, если любая программа попытается изменить содержимое загрузочных секторов, срабатывает защита и пользователь получает соответствующее предупреждение. При этом он может разрешить это изменение или запретить его.

Однако, такой контроль нельзя назвать настоящим контролем на аппаратном уровне. Программный модуль, отвечающий за контроль доступа к загрузочным секторам, находится в ПЗУ BIOS и может быть обойден вирусами, если они заменяют загрузочные секторы, обращаясь непосредственно к портам ввода/вывода контроллера жестких и гибких дисков.

Существуют вирусы, которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки в энергонезависимой памяти (CMOS-памяти) компьютера.

Вирусы Tchechen .1912 и 1914

Очень опасные резидентные шифрованные вирусы. Пытаются найти в ПЗУ BIOS текстовые строки Megatrends и AWARD. Если поиск закончился успешно, они считают, что в компьютере установлен BIOS фирм AWARD или AMI, отключают контроль за загрузочными секторами и заражают главную загрузочную запись жеского диска. Примерно через месяц после заражения вирус удаляет информацию со всего первого жесткого диска

Самое простое средство аппаратной защиты - отключить от компьютера все каналы, через которые в него может проникнуть вирус. Если компьютер не подключен к локальной сети и в нем не установлен модем, то достаточно отключить накопители на гибких дисках и основной канал поступления вирусов в компьютер будет перекрыт.

Однако такое отключение далеко не всегда возможно. В большинстве случаев пользователю для нормальной работы необходим доступ к дисководам или модемам. Кроме того, зараженные программы могут проникнуть в компьютер через локальную сеть или компакт-диски, а их отключение значительно сузит область применения компьютера.

Методы удаления вирусов

Обнаружить вирус на компьютере – это только половина дела. Теперь его необходимо удалить. В большинстве случаев антивирусные программы, которые обнаруживают вирус, могут его удалить. Существуют две основные методики, используемые антивирусными программами для удаления вирусов.

Если вы обнаружили вирус, проверяя выполнимые файлы, с расширениями имени COM и EXE, следует проверить все другие типы файлов, в которых содержится исполнимый код. В первую очередь это файлы с расширением SYS, OVL, OVI, OVR , BIN, BAT, BIN, LIB, DRV, BAK, ZIP, ARJ, PAK, LZH, PIF, PGM, DLL, DOC

Вы даже можете проверить вообще все файлы на жестких дисках компьютера. Возможно кто-нибудь переименовал зараженный выполнимый файл, изменив его расширение. Например, файл EDITOR.EXE переименовали в EDITOR.EX_. Такой файл проверен не будет. Если впоследствии его переименуют обратно, вирус снова сможет активизироваться и распространиться в компьютере

Первая, наиболее распространенная методика предусматривает, что антивирусная программа удаляет уже известный вирус. Чтобы вирус мог быть правильно удален, необходимо чтобы он был изучен, разработан алгоритм его лечения и этот алгоритм был реализован в новой версии антивируса.

Вторая методика позволяет восстанавливать файлы и загрузочные секторы, зараженные ранее неизвестными вирусами. Для этого антивирусная программа заранее, до появления вирусов, должна проанализировать все выполняемые файлы и сохранить о них много разнообразной информации.

При последующих запусках антивирусной программы она повторно собирает данные о выполняемых файлах и сверяет ее с данными, полученными ранее. Если обнаруживаются несоответствия, то возможно файл заражен вирусом.

В этом случае антивирус пытается восстановить зараженный файл, используя для этого сведения о принципах внедрения вирусов в файлы и информацию о данном файле, полученную до его заражения.

Некоторые вирусы заражают файлы и загрузочные секторы, замещая своим кодом часть заражаемого объекта, то есть безвозвратно уничтожая заражаемый объект. Файлы и загрузочные секторы, зараженные такими вирусами, не могут быть вылечены по первой методике, но как правило могут быть восстановлены по второй методике. Если восстановить зараженные выполнимые файлы с помощью антивирусных программ не получается, вы должны будете восстановить их с дистрибутива или резервной копии или просто удалить (если они не нужны).

С главной загрузочной записью и загрузочными секторами дело обстоит несколько сложнее. Если антивирусная программа не в состоянии восстановить их в автоматическом режиме, вы должны будете сделать это вручную, воспользовавшись командами FDISK, SYS, FORMAT. Ручное восстановление загрузочных секторов будет описано несколько позже, в шестой главе.

Существует целая группа вирусов, которые, заражая компьютер, становятся частью его операционной системы. Если вы просто удалите такой вирус, например восстановив зараженный файл с дискеты, то система может стать частично или полностью неработоспособной. Такие вирусы надо лечить пользуясь первой методикой.

В качестве примера таких вирусов можно привести загрузочные вирусы OneHalf и группу вирусов VolGU.

Во время загрузки компьютера вирус OneHalf постепенно шифрует содержимое жесткого дисска. Если вирус находится резидентным в памяти, то он перехватывает все обращения к жесткому диску. В случае, когда какая-либо программа пытается считать уже зашифрованный сектор, вирус расшифровывает его. Если вы удалите вирус OneHalf, информация на зашифрованной части жесткого диска станет недоступной.

Вирус VolGU не шифрует данные, но он не менее опасен, чем OneHalf. Каждый сектор жесткого диска хранит не только данные, записанные в нем, он также содержит дополнительную проверочную информацию. Она представляет собой контрольную сумму всех байт сектора. Эта контрольная сумма используется для проверки соохранности информацции.

Обычно, когда программа обращается к дисковой подсистеме компьютера, считываются и записываются только данные, контрольная сумма корректируется автоматически. Вирус VolGU, перехватывает обращения всех программ к жесткому диску и при записи данных на диск портит контрольные суммы секторов.

Когда вирус активен, он позволяет считывать секторы с неправильной контрольной суммой. Если просто удалить такой вирус, тогда секторы с неправильной контрольной суммой читаться не будут. Операционная система сообщит вам о ошибке чтения с жесткого диска (сектор не найден).

Подготовка к вирусной атаке

Пользователи компьютеров должны заблаговременно подготовиться к возможной атаке вирусов, а не ждать до последней минуты, когда вирус уже появится. Благодаря этому вы сможете быстрее обнаружить вирус и удалить его.

В чем же должна заключаться такая подготовка?

¨ Заранее подготовьте системную дискету. Запишите на нее антивирусные программы-полифаги, например Aidstest и Doctor Web

¨ Постоянно обновляйте версии антивирусных программ, записанных на системной дискете

¨ Периодически проверяйте компьютер при помощи различных антивирусных средств. Контролируйте все изменения на диске с помощью программы-ревизора, например ADinf. Новые и изменившиеся файлы проверяйте программами-полифагами Aidstest и Doctor Web

¨ Проверяйте все дискеты перед использованием. Для проверки применяйте как можно более поздние версии антивирусных программ

¨ Проверяйте все выполнимые файлы, записываемые на компьютер

¨ Если вам нужен высокий уровень защиты от вирусов, установите в компьютере аппаратный контроллер защиты, например Sheriff. Совместное использование аппаратного контроллера и традиционных антивирусных средств позволят максимально обезопасить вашу систему

Создание системной дискеты

Обычно в компьютере установлены два накопителя на гибких магнитных дисках. Один - для дискет размером 5.25 дюйма, а второй для дискет размером 3.5 дюйма. Операционная система MS-DOS, а также операционные системы Windows, Windows 95, Windows NT и OS/2 присваивают им имена A: и B:. Какой из дисководов имеет имя A:, а какой B:, зависит от аппаратуры компьютера.

Как правило, пользователь может изменить имена дисководов. Для этого необходимо открыть корпус компьютера и переключить несколько разъемов. Если есть такая возможность, то эту работу следует доверить техническому специалисту.

Накопители на магнитных дисках размером 5.25 дюйма постепенно выходят из употребления, поэтому в новых компьютерах устанавливают только один накопитель на гибких магнитных дисках, рассчитанный на дискеты размера 3.5 дюйма. В этом случае он имеет имя A:, диск B: отсутствует.

Загрузить компьютер с помощью системной дискеты можно только с дисковода A:. Таким образом, для изготовления системной дискеты к своему компьютеру вы должны взять дискету соответствующего размера.

Существует множество программ, позволяющих подготовить системную дискету. Такие программы входят в состав всех операционных систем - MS-DOS, Windows 3.1, Windows 95 и OS/2 и др.

Самыми простыми программами для подготовки системных дискет являются команды FORMAT или SYS, входящие в состав операционных систем MS-DOS и Windows 95 и поэтому в первую очередь мы опишем именно их.

Использование команды FORMAT

Команда FORMAT выполняет форматирование дискеты и может записать на нее файлы операционной системы. При форматировании гибких дисков FORMAT выполняет разметку дорожек на дискете, и формирует системные области - загрузочный сектор, таблицу размещения файлов и корневой каталог.

Во время форматирования дискеты вся информация, записанная на ней, стирается. Так как FORMAT заново записывает на дискету загрузочный сектор, то если она ранее была заражена загрузочным вирусом, вирус удаляется. Можно сказать, что команда FORMAT выполняет основную функцию антивируса - удаляет с дискеты любые вирусы.

При вызове команды FORMAT можно задать большое количество различных параметров. Их описание вы можете найти в четвертом томе серии “Персональный компьютер - шаг за шагом”, который называется “Что вы должны знать о своем компьютере”. В этой книге мы опишем только несколько самых необходимых нам параметров:

FORMAT drive:

В качестве параметра drive вы должны задать имя дисковода, который будет форматировать дискету. Параметр /S означает, что после форматирования дискеты на нее переносятся основные файлы операционной системы и дискета становится системной. Для подготовки системной дискеты следует обязательно указать этот параметр.

Как мы говорили, команда FORMAT удаляет с форматируемой дискеты все записанные на ней файлы. Обычно FORMAT записывает на дискете скрытую информацию, позволяющую в случае необходимости восстановить удаленные с нее файлы.

Для восстановления файлов, удаленных во время выполнения форматирования дискеты, используйте команду UNFORMAT

Если вы твердо уверены, что воосстанавливать их не придется, можно ускорить форматирование дискеты, указав дополнительный параметр /U. В этом случае информация о удаляемых файлах не сохраняется и их нельзя будет восстановить.

Вы можете значительно ускорить процесс подготовки системной дискеты, если укажите команде FORMAT дополнительный параметр /Q. В этом случае выполняется быстрое форматирование дискеты:

Опишем процесс подготовки системной дискеты более подробно. Введите следующую команду:

На экране появится предложение вставить дискету в дисковод A: и нажать клавишу :

Insert new diskette for drive A:
and press ENTER when ready...

Начнется процесс форматирования. На экране в процентах будет отображаться объем выполненной работы.

Formatting 1.2M
77 percent completed.

После окончания форматирования на дискету записываются основные файлы операционной системы. Затем вы можете ввести метку дискеты. Метка должна содержать не более одиннадцати символов. После ввода метки нажмите клавишу . Если вы не желаете присваивать дискете метку, нажмите клавишу сразу:

Format complete.
System transferred

Volume label (11 characters, ENTER for none)?

Затем на экране появится различная статистическая информация: общая емкость дискеты, объем пространства, занятый файлами операционной системы, объем доступного свободного пространства. Если на дискете обнаружены плохие секторы, недоступные для использования, отображается их суммарный объем в байтах. Ниже выводится размер сектора в байтах, количество свободных секторов на дискете и ее серийный номер:

1,213,952 bytes total disk space
198,656 bytes used by system
1,015,296 bytes available on disk

512 bytes in each allocation unit.
1,983 allocation units available on disk.

Volume Serial Number is 2C74-14D4

Format another (Y/N)?

На этом подготовку системной дискеты можно считать завершенной. Если вы не планируете сразу создать несколько системных дискет, нажмите клавишу . Чтобы создать еще одну системную дискету, нажмите клавишу и повторите описанный нами процесс еще раз.

Использование команды SYS

Если у вас есть свободная чистая отформатированная дискета, быстрее всего можно сделать ее системной при помощи команды SYS. Для этого вставьте дискету в дисковод компьютера и введите следущую команду:

SYS drive2:

Команда SYS имеет один обязательный параметр - drive2 . Этот параметр должен задавать имя дисковода, в котором подготавливается системная дискета. Вам следует указать в качестве параметра drive2 имя A: или B:.

Необязательные параметры drive1 и path определяют расположение системных файлов на диске. Если вы не укажете эти параметры, команда SYS будет брать системные файлы из корневого каталога текущего диска.

Запись антивирусных программ на системную дискету

На системной дискете располагаются основные файлы операционной системы MS-DOS: IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN. Если системная дискета изготовлена в операционной системе совместимой с MS-DOS, например IBM PC -DOS , то имена этих файлов могут быть другие.

Файлы IO.SYS и MSDOS.SYS представляют собой ядро операционной системы. Файл COMMAND.COM обычно называют командным процессором. Это та самая программа, которая выводит на экран компьютера системное приглашение и выполняет команды операционной системы. Последний файл на системной дискете - DBLSPACE.BIN. Он содержит расширение операционной системы, которое обеспечивает доступ к уплотненным дискам системы DoubleSpace.

Основные файлы операционной системы - IO.SYS, MSDOS.SYS имеют атрибут "скрытый файл" и не показываются командой DIR. Чтобы увидеть их, добавьте к команде DIR параметр /A.

После того как вы изготовили системную дискету, на ней осталось еще много свободного места. Суммарный объем, занимаемый основными файлами операционной системы MS-DOS - IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN составляет около 200 Кбайт. Таким образом, если вы использовали дискету с высокой плотностью запсиси, то в вашем распоряжении оказывается больше мегабайта свободного пространства.

Запишите на системную дискету программное обеспечение, необходимое для тестирования и восстановления поврежденной операционной системы. В первую очередь необходимо записать антивирусные программы, выполняющие поиск вирусов и программу для проверки целостности файловой системы. Полезно записать команды FORMAT и FDISK - они могут понадобиться для ручного восстановления системы. Для удобства можно дополнительно записать на системную дискету оболочку, например Norton Commander, и любой текстовый редактор.

В следующей таблице перечислены программы, которые окажут вам помощь при восстановлении работоспособности компьютера. Желательно все их записать на системную дискету. В случае, если они не поместятся на одну системную дискету, подготовьте еще одну дискету и запишите оставшиеся программы на нее.

Программа	Назначение
	Антивирусная программа-полифаг. Позволяет обнаружить и удалить большое количество вирусов. Полиморфные вирусы, которые Aidstest не может обнаружить, определяются программой Doctor Web
	Антивирусная программа-полифаг, в которой реализован эвристический алгоритм поиска вирусов. Позволяет обнаружить сложные полиморфные вирусы. Вы должны использовать ее вместе с антивирусом Aidstest
ScanDisk или Norton Disk Doctor	Во многих случаях причиной неисправности и странного поведения компьютера служат не вирусы, а испорченная файловая система. Программы ScanDisk и Norton Disk Doctor обнаруживают и автоматически исправляют ошибки в файловой системе MS-DOS
	Программа для тестирования всех подсистем компьютера. Позволяет обнаружить неисправность аппаратуры
Norton Commander	Оболочка для операционной системы MS-DOS. Значительно облегчает работу с компьютером. Содержит встроенный текстовый редактор, программы просмотра файлов в различных форматах
	Команда MS-DOS. Предназначена для форматирования жестких и гибких дисков компьютера
	Команда MS-DOS. Предназначена для создания и удаления логических дисков. Команды FDISK и FORMAT могут понадобиться в случае полного разрушения информации на жестком диске. Их применение описывается в главе “Восстановление файловой системы”
	Редактор диска. Позволяет просматривать и редактировать любую информацию, записанную на диске, включая системные области. Disk Editor позволяет отредактировать главный загрузочный сектор, загрузочные секторы, таблицы размещения FAT, стуктуры каталогов и файлы

В некоторых случаях для доступа к жестким дискам компьютера могут использоваться специальные драйверы или резидентные программы. Их обязательно нужно записать на подготовленную системную дискету. Чтобы они автоматически подключались при загрузке компьютера с системной дискеты, создайте на ней файлы CONFIG.SYS и AUTOEXEC.BAT, записав в них команды загрузки необходимых драйверов.

Если к компьютеру подключено устройство чтения компакт-дисков, запишите на системную дискету программное обеспечение, необходимое для его использования. Для MS-DOS вам надо записать драйвер устройства чтения и программу MSCDEX, входящую в состав операционной системы. Доступ к устройству чтения позволит оперативно восстановить программное обеспечение, записанное на компакт-дисках.

Операционная система Windows 95 не нуждается в программе MSCDEX, однако если графическая оболочка этой системы на загружается, MSCDEX все же надо подключить

После того как вы полностью подготовили системную дискету и записали не нее все необходимые программы, установите на нее защиту от записи. Для этого на дискете размером 5,25" необходимо заклеить прорезь на краю дискеты, а на дискете размером 3,5" открыть окно защиты. Защита от записи даст гарантию того, что вы случайно не испортите содержимое дискеты и вирусы не смогут на нее проникнуть. Так как дискеты иногда выходят из строя, то на этот случай лучше всего иметь несколько идентичных системных дискет.

Загрузка с системной дискеты

Чтобы загрузить компьютер с системной дискеты, надо установить приоритетную загрузку операционной системы с гибких магнитных дисков. Приоритет загрузки операционной системы определяется в CMOS-памяти. Чтобы изменить его, следует запустить программу Setup. Подробнее о программе Setup вы можете узнать из четвертого тома серии “Персональный компьютер - шаг за шагом”, который называется “Что вы должны знать о своем компьютере”.

Существуют вирусы, изменяющие приоритет загрузки компьютера. Для этого они меняют данные, записанные в CMOS-памяти. Примером таких вирусов могут быть вирусы Mammoth.6000 и ExeBug. Эти вирусы отключают в CMOS-памяти дисководы, временно подключая их, если какая-либо программа желает прочитать или записать информацию на дискету. Когда пользователь пытается загрузить компьютер с дискеты, загрузка будет выполняться с жесткого диска, так как дисковод отключен. Вирус получит управление, а затем выполнит загрузку компьютера с дискеты.

При этом с точки зрения пользователя все выглядит как обычно. Он видит, что операционная система загружается с дискеты, но к этому времени вирус уже находится в оперативной памяти и контролирует работу компьютера.

Поэтому непосредственно перед тем как выполнять загрузку MS-DOS с системной дискеты, убедитесь, что содержимое CMOS-памяти установлено правильно. Для этого запустите программу установки параметров BIOS и проверьте указанный там тип дисководов, а также порядок загрузки компьютера.

Вставьте системную дискету в дисковод A: и перезапустите компьютер. Если вы подозреваете наличие вирусов, для перезагрузки необходимо выключить и включить питание компьютера или нажать кнопку "Reset" на корпусе компьютера. Некоторые вирусы отслеживают перезагрузку при помощи клавиш и могут остаться в оперативной памяти даже после такой загрузки с системной дискеты.

После первоначального тестирования компьютера начнется загрузка операционной системы с дискеты. При этом должен гореть светодиод дисковода A:. Процесс загрузки с дискеты проходит несколько медленнее, чем с жесткого диска, поэтому вам придется немного подождать. Когда загрузка операционной системы завершится, на экране появиться соответствующее сообщение.

Затем операционная система запросит у вас текущую дату и время. Дата и время запрашиваются только в том случае, если на дискете (диске) отсутствует системный конфигурационный файл AUTOEXEC.BAT.

Если вы не хотите изменять дату и время, нажмите два раза клавишу . В этом случае дата и время останутся без изменения, и на экране появится системное приглашение MS-DOS:

Вы можете создать на системной дискете пустой файл AUTOEXEC.BAT, тогда дата и время запрашиваться не будут и после загрузки операционной системы на экране сразу появится системное приглашение.

Можно ли предотвратить проникновение вирусов

Если периодически не проводить работу по профилактике и лечению компьютеров от вирусов, возможность потери хранимой информации и разрушения операционной среды становится более чем реальной.

Негативные последствия вашей халатности могут быть различными, в зависимости от того, какой вирус попадет в компьютер. Вы можете потерять либо часть информации из файлов, хранящихся в компьютере, либо отдельные файлы, либо даже все файлы на диске. Но хуже всего, если вирус внесет небольшие изменения в файлы данных, которые сначала могут быть не замечены, а потом приведут к ошибкам в финансовых или научных документах.

Работы по профилактике и лечению компьютеров от вирусов могут включать следующие действия:

w Устанавливать программное обеспечение следует только с дистрибутивов

w Установите на всех ваших дискетах защиту от записи и снимайте ее только в случае необходимости

w Ограничьте обмен программами и дискетами, проверяйте такие программы и дискеты на наличие вирусов

w Периодически проверяйте оперативную память и диски компьютера на наличие вирусов с помощью специальных антивирусных программ

w Выполняйте резервное копирование информации пользователя

Не знакомьтесь с незнакомыми людьми

Никакие меры защиты не помогут защитить компьютер от проникновения вирусов, если вы не будете предварительно проверять все записываемые в него выполнимые файлы. На сегодняшний день такая проверка осуществима только с помощью антивирусных программ-полифагов.

Постоянное появление все новых и новых вирусов требует использования самых последних версий антивирусных программ. Желательно, чтобы ими обеспечивался поиск не только известных вирусов, но также и эвристический анализ проверяемых программ и загрузочных секторов. Он позволит обнаружить файлы, зараженные новыми, еще неизвестными и неизученными вирусами.

К сожалению, антивирусные программы не могут дать полной гарантии отсутствия в проверяемом программном обеспечении вирусов и тем более троянских программ или логических бомб. Записывая на свой компьютер программное обеспечение неизвестного происхождения, вы всегда рискуете

В больших организациях имеет смысл выделить специальный компьютер для установки в него сомнительного программного обеспечения, например компьютерных игр. Этот компьютер должен быть изолирован от остальных компьютеров организации. В первую очередь необходимо отключить его от локальной сети и запретить пользователям не только копировать с него программы, но и записывать на него файлы со своих рабочих дискет, заранее не защищенных от записи.

На время работы с подозрительным программным обеспечением используйте программы-мониторы, например монитор VSafe, входящий в состав MS-DOS. Если программа действительно окажется заражена вирусом или она содержит логическую бомбу, монитор сообщит о любых несанкционированных действиях с ее стороны. К сожалению программы-мониторы типа VSafe легко могут быть обмануты вирусами, поэтому более надежно использовать программно-аппаратные средства защиты.

В состав антивирусного комплекта “ДиалогНаука” входит программно-апаратный комплекс защиты Sheriff. Помимо всего прочего, он выполняет все функции программ мониторов, но делает это значительно лучше. За счет того что контроль компьютера обеспечивается специальным контроллером защиты на аппаратном уровне, вирусы не смогут обмануть Sheriff.

Как защитить дискеты от записи

Вы можете защитить свои дискеты от записи. Защита работает на уровне аппаратуры компьютера и ее нельзя отключить программными методами. Поэтому вирус не сможет заразить загрузочный сектор и выполнимые файлы, записанные на дискете с установленной защитой от записи.

Все дистрибутивы программного обеспечения, записанные на дискетах, следует защитить от записи. Большинство программного обеспечения можно устанавливать с дискет, на которых установлена защита от записи

Если вы попытаетесь записать данные на дискету с установленной защитой от записи, операционная система выведет на экран компьютера предупреждающее сообщение. Оно может иметь различный вид, в зависимости от того, какие средства используются для записи на дискету.

Например, если вы используете команды COPY или XCOPY операционной системы MS-DOS, и пытаетесь записать файл на защищенную дискету, тогда на экране появится следующее сообщение:

Write protect error reading drive A
Abort, Retry, Fail?

Пользователь должен ответить, как операционная система должна поступить в этой ситуации. Вы можете выбрать три ответа: Abort, Retry или Fail. Для этого достаточно ввести с клавиатуры первый символ выбранного отвеста: Abort - , Retry - , Fail - . Можно использовать как заглавные так и строчные буквы.

Выбор Abort или Fail означает, что операционная система должна отказаться от попытки записать информацию на дискету (Abort просто отменяет выполнение операции, а Fail указывает на необходимость вернуть программе код ошибки). Если вам надо выполнить операцию записи, снимите с дискеты защиту от записи и выберите Retry.

Необходимо внимательно отнестись к сообщению о попытке записи на защищенную дискету. Чтение файлов с дискеты, и запуск с нее большинства программ не должны вызывать записи на нее. Если вы уверены, что запись на дискету выполняться не должна, но она происходит, велика вероятность, что компьютер заражен вирусом.

Некоторые вирусы блокируют вывод сообщения о попытке нарушения защиты от записи, когда заражают выполнимые файлы или загрузочный сектор дискеты. Это позволяет им остаться незамеченными, если на дискете установлена защита. Тем не менее, вы достигнете желаемого результата, дискета останется незараженной.

Вирус Plague.2647

Неопасный резидентный стелс-вирус. При открытии инфицированных файлов удаляет из них свой код, а затем снова заражает, когда файл закрывается. При заражении файлов на дискетах проверяет, установлена ли защита от записи. Если защита установлена, вирус не будет пытаться заразить файлы на нем. Содержит строку "PLAGUE"

Защиту от записи можно установить на дискету любого размера - 3,5 дюймов и 5,25 дюймов. Проще всего это делается на дискетах размера 3,5 дюймов. Вам достаточно закрыть маленькое отверстие в углу дискеты специальной пластмассовой крышкой, как это показано на рис. 2.1. Снять защиту от записи также просто: достаточно открыть защитное отверстие.

Рис. 2.1. Защита от записи на дискете размера 3,5 дюймов

Чтобы защитить от записи дискету 5,25”, нужно заклеить прорезь в конверте дискеты (рис. 2.2). Для этого используется небольшой прямоугольный кусочек клейкой бумаги. Обычно такая бумага продается вместе с дискетами. В крайнем случае вы можете воспользоваться обычной изолентой. Снять защиту от записи можно, удалив приклеенный вами кусочек бумаги.

Часто снимать и устанавливать защиту на дискете 5,25” очень трудно, рано или поздно это надоест и вирус сможет проникнуть на дискету. Поэтому по возможности откажитесь от дискет размером 5,25” и замените их более удобными дискетами размера 3,5”.

Рис. 2.2. Защита от записи на дискете размера 5,25 дюймов

Правильный выбор порядка загрузки компьютера

Операционная система может быть загружена или с жесткого дисска или с дискеты. Обычно компьютер загружается с жесткого диска, однако если в момент включения питания компьютера или его перезагрузки в дисковод A: вставлена дискета (случайно или нарочно), загрузка операционной системы начнется с нее. Если дискета заражена загрузочным вирусом, он получит управление и сразу попытается заразить жесткий диск компьютера.

Большинство компьютеров позволяют указать приоритет, в котором должна выполняться загрузка операционной системы. Этот порядок устанавливается при помощи программы BIOS Setup. Более подробно о программе BIOS Setup вы прочитаете в разделе “Восстановление файловой системы”.

Чтобы защитить компьютер от случайного заражения загрузочным вирусом, укажите, что операционная система должна загружаться сначала с диска C:, и только в случае его неисправности - с диска A:.

Если надо загрузить компьютер с дискеты, удостоверьтесь, что на ней нет вирусов. Для этого сначала проверьте ее несколькими антивирусными программами, например программами Doctor Web и Aidstest.

Лучше всего, если вы приготовите системную дискету заранее, а чтобы ее случайно не испортили, установите на ней защиту от записи. На системную дискету полезно записать программы для диагностики компьютера - антивирусные программы, программы проверки целостности файловой системы и исправности аппаратуры компьютера. Как создать системную дискету мы рассказали в разделе “Создание системной дискеты”.

Непопулярные меры

В организациях очень эффективными могут оказаться жесткие меры защиты, связанные с отключением от компьютеров каналов возможного поступления вирусов. В первую очередь это относится к дисководам для гибких дисков. Дисководы могут быть отключены физически и сняты с компьютера или их можно отключить только в CMOS-памяти, при этом на программу BIOS Setup следует поставить пароль.

В идеальном случае от компьютера надо отключить все дисководы, устройства чтения компакт-дисков, модемы, последовательные и параллельные порты, сетевые адаптеры. Конечно это нереально, однако не следует полностью отказываться от такой идеи.

Резервное копирование

Очень важно организовать резервное копирование информации, хранимой в компьютере. В зависимости от средств, которыми вы располагаете, можно выполнять полное копирование жестких дисков компьютера или копирование только самой важной информации, которая не может быть восстановлена другим путем.

Для резервного копирования обычно используют магнитные ленты. Запись на них осуществляется специальными цифровыми магнитофонами, называемыми стримерами. Объем магнитных кассет составляет от 200 Мбайт до 4 Гбайт. В последнее время стали доступны устройства магнито-оптической дисковой памяти. По надежности и удобству использования они значительно превосходят магнитную ленту. Объем магнитооптических дисков широко варьируются и составляет от десятков мегабайт до нескольких гигабайт.

Если в вашем распоряжении нет ни стримера, ни магнитооптического диска, то во многих случаях достаточно использовать простые дискеты. Конечно запись на дискеты - это самый плохой способ резервного копирования. Во-первых, дискеты имеют очень маленький объем - немногим больше одного мегабайта. Во-вторых, дискеты очень ненадежны. Иногда с них не удается считать ранее записанную информацию.

Одной резервной копии недостаточно. Вы должны иметь несколько резервных копий. Вот небольшой пример. Вы выполняете очередное копирование и вдруг происходит сбой питания или нападение вируса. Компьютер зависает, данные записанные в компьютере и их копия оказываются испорченными

Выполняя резервное копирование, надо быть предельно осторожным. Перед копированием всегда проверяйте целостность копируемой информации. Выполняйте поиск вирусов и проверку файловой системы. Для этого используйте самые последние версии антивирусов и программы типа ScanDisk. Если не соблюдать этого правила, то все резервные копии рано или поздно окажутся испорченными.

В особо ответственных случаях выполняйте циклическое копирование данных. Например, одну копию обновляйте каждый день, вторую - каждую неделю, третью - каждый месяц.

Архивирование файлов

Если для резервного копирования используются обычные дискеты, тогда перед записью на них файлов их следует сжать какой-либо программой архивации. Программы-архиваторы позволяют уменьшить размер дисковой памяти, занимаемый файлами. Это происходит за счет устранения избыточности информации, хранимой в сжимаемых файлах.

Сжатые файлы могут занимать значительно меньше места на диске, чем их оригиналы. Так, текстовые файлы, подготовленные, например, в текстовом процессоре Microsoft Word for Windows, обычно уменьшаются вдвое. Конечно, работать с таким файлом невозможно. Перед работой его надо восстановить с помощью той же программы архивации.

В настоящее время наиболее популярны архиваторы ARJ, PKZIP, RAR. Все они выполняют примерно одинаковые функции и могут быть использованы для создания резервных копий документов.

Более подробно вопросы архивирования данных рассмотрены в десятом томе серии “Библиотека системного программиста”, который называется “Компьютер IBM PC/AT, MS-DOS и Windows. Вопросы и ответы”. Сейчас мы только приведем пример использования архиватора ARJ для подготовки резервных копий файлов. Формат вызова архиватора ARJ достаточно сложен:

ARJ <команда> [-<ключ> [-<ключ>...]] <имя архива>
[<имена файлов>...]

Первый параметр - команда - определяет режим работы архиватора:

	Режим работы архиватора
	Добавление новых файлов в архив
	Удаление файлов из архива
	Извлечение файлов из архива
	Просмотр содержимого архива
	Перенос файлов в архив. Файлы записываются в архив, а затем исходные файлы удаляются с диска
	Восстановление файлов вместе со структурой каталогов и подкаталогов, в которой эти файлы были расположены при архивации
	Восстановление файлов архива. Структура каталогов и подкаталогов не восстанавливается, все файлы из архива помещаются в один каталог
	Обновить файлы в архиве. В архив записываются только измененные и новые файлы. Файлы, оставшиеся без изменения, заново не архивируются. За счет этого экономится много времени

После одной из приведенных команд могут следовать один или несколько необязательных дополнительных параметров ключ . Дополнительные параметры должны выделяться символом "-". Приведем таблицу наиболее важных дополнительных параметров и опишем их назначение:

Дополнительный параметр	Назначение
	Защита создаваемого архива паролем
	Используется с командами "a" или "m" для указания того, что в архив должны войти файлы из текущего каталога и всех его подкаталогов
	Создание и восстановление многотомных архивов, расположенных на нескольких дискетах. Каждая дискета содержит один том архива (файл). Существует несколько модификаций параметра -v: VV - выдавать звуковой сигнал между обработкой отдельных томов архива; VA - автоматически определять объем свободного пространства на дискете (размер очередного тома архива); Vnnnnn - размер отдельных томов архива, например V20000 - создать архив из томов по 20 Кбайт; V360, V720, V1200, V1440 - создать тома, фиксированного размера по 360 Кбайт, 720 Кбайт, 1,2 Мбайт, 1,44 Мбайт
	Восстановить файлы из поврежденного архива. Используйте этот параметр, если восстановление файлов из архива прервалось сообщением архиваторе о нарушениях в структуре файла-архива
X
	Архиватор не будет запрашивать у пользователя разрешения для выполнение различных действий, например для создания нового файла многотомного архива, создания каталогов

После дополнительных параметров следует имя файла архива, а за ним - список имен извлекаемых, добавляемых или удаляемых файлов. При указании имен этих файлов можно использовать символы "?" и "*". Если вы не укажете список file_names, то будут подразумеваться все файлы, расположенные в текущем каталоге или архиве.

Программы-архиваторы очень удобны для создания резервных копий на дискетах. Если файл архива не помещается на одной дискете, архиватор позволяет создать многотомный архив, состоящий из нескольких файлов. Для этого надо указать дополнительный параметр V. Отдельные файлы многотомного архива можно записать на несколько дискет.

Следующая команда создает многотомный архив, из всех файлов, расположенных в текущем каталоге и всех его подкаталогах, за исключением файлов, имеющих имя TMP или расширение имени BAK. Файлы многотомного архива будут иметь размер немного больший, чем 1,44 Мбайт. Вы сможете записать их на 3-дюймовые дискеты.

ARJ A -R -X*.BAK -XTMP.* -V1440 !COLLAPS

Файлы созданного архива будут иметь имя!COLLAPS и различные расширения:

COLLAPS.ARJ
!COLLAPS.A01
!COLLAPS.A02
!COLLAPS.A03
....

Восстановить файлы, записанные в этом многотомном архиве, можно либо предварительно скопировав их на жесткий диск компьютера или непосредственно с дискет. Например, для восстановления с дискет используйте следующую команду:

ARJ X -V A:\!COLLAPS

После восстановления файла архива пользователю будет выдан запрос на обработку следующего файла архива. Вставьте в дисковод следующую дискету и нажмите кнопку .

Резервное копирование документов в Windows 95

Операционная система Windows 95 предоставляет удобные средства для резервного копирования отдельных документов и целых каталогов на дискеты. Для этого достаточно открыть пиктограмму My Computer и перейти в каталог, файлы из которого надо записать на дискеты.

Затем переместите указатель мыши на пиктограмму того файла или каталога, который должен быть скопирован, и нажмите правую кнопку мыши. На экране появится небольшое меню.

Рис. 2.3. Запись каталога Library на дискеты

Выберите из этого меню строку Send To, а затем в открывшемся временном меню укажите дисковод, на котором будет происходить копирование. На рисунке 2.3 мы показали, как надо выполнять копирование каталога Library на дискеты размера 3,5 дюйма.

После того как вы укажете дисковод, начнется процесс копирования. Если для копирования всех файлов каталога одной дискеты окажется недостаточно, операционная система попросит вас вставить следующую дискету.

К сожалению, продемонстрированный нами способ выгрузки не позволяет скопировать на дискеты файлы, размер которых превышает объем самой дискеты. Поэтому скопировать, таким образом, очень большие документы невозможно.

Проверим, нет ли вирусов

Для проверки новых программ, которые вы записываете в свой компьютер, надо использовать антивирусные программы-полифаги последних версий. Они смогут обнаружить любые вирусы, известные на момент создания программы-антивируса. Желательно, чтобы используемые вами антивирусы выполняли эвристический анализ программ. Возможно, это позволит обнаружить новые, еще не известные вирусы.

Популярность антивирусных программ Aidstest и Doctor Web настолько велика, что они установлены практически на каждом компьютере. Поэтому сейчас мы проверим ваш компьютер с помощью этих программ и посмотрим, нет ли в нем вирусов.

Если у вас нет самых последних версий антивирусов, воспользуйтесь теми программами, которые у вас есть. Несмотря на то, что такая проверка будет неполной, она все же позволит обнаружить большое количество вирусов.

Поиск вирусов на жестком диске компьютера

В начале проверим все жесткие диски компьютера программой Aidstest. Введите в системном приглашении DOS следующую команду.

Внимательно следите за сообщениями, выдаваемыми программой во время проверки компьютера. Если будет обнаружен вирус, Aidstest сообщит об этом.

Многие вирусы, которые не обнаруживает Aidstest, могут быть пойманы программой Doctor Web. Кроме того, Doctor Web позволяет выполнить эвристический анализ программ и загрузочных секторов. Поэтому повторите проверку с помощью Doctor Web.

DRWEB * /CL /HI /AR /HA1 /RV /UP

Антивирус Doctor Web проверит все жесткие диски компьютера, при этом он выполнит поиск вирусов не только непосредственно в выполнимых файлах, но и в файлах архивов, а также в сжатых выполнимых файлах. Если вирусы будут обнаружены, программа выведет на экран соответствующее сообщение.

Во всех примерах, приведенных в этом разделе, выполняется только поиск вирусов, ни один из обнаруженных вирусов не будет удален. Для этого надо запустить программу-антивирус еще один раз, загрузившись с системной дискеты.

Поиск вирусов на дискетах

Все новые дискеты, а также дискеты, которые вы отдавали кому-либо, необходимо проверить на заражение вирусами. Для этого используйте антивирусы-полифаги Aidstest и Doctor Web. Последовательно вызовите сначала одну, а затем другую программы. В следующем примере показано как проверить дискету, вставленную в дисковод A:.

AIDSTEST A: /B
DRWEB A: /CL /AR /HA1 /UP /NM /OF

Вирусы в файлах архивов

Чтобы увеличить объем свободного пространства на жестком диске и дискетах, многие пользователи архивируют редко используемые файлы. Для этого могут использоваться специальные программы-архиваторы, уменьшающие размер файлов за счет устранения избыточности данных, записанных в файле. Когда пользователю вновь требуется файл из архива, он снова использует программу-архиватор.

Файлы внутри архива хранятся в сжатом виде, исключающем возможность поиска вируса по их сигнатурам. Поэтому, если вы записали в архив зараженную программу, она может остаться незаметной для многих антивирусов.

Некоторые антивирусные программы, например Doctor Web, позволяют проверять файлы, записанные внутри архивов. Проверяя архивы, Doctor Web временно восстанавливает записанные в нем файлы и последовательно просматривает их.

Если вы обнаружили в своем компьютере вирусы, обязательно проверьте все файлы архивов, даже если ваша антивирусная программа не умеет работать с архивами. Самостоятельно восстановите файлы из всех архивов на диске, а затем проверьте их вашей антивирусной программой

Обычно, когда на одном компьютере работает несколько человек, они используют различные средства разграничения доступа к жестким дискам. Например Diskreet из пакета Norton Utilities, позволяет создать несколько логических дисков. Каждый пользователь может иметь доступ только к некоторым дискам, остальные для него будут полностью недоступны.

Вирус ArjVirus

Неопасный нерезидентный вирус. Выполняет поиск в текущем каталоге и его подкаталогах файлов архивов, созданных программой-архиватором ARJ. Файлы архивов вирус отличает только по их расширению - ARJ.

Если файл архива будет обнаружен, вирус создает файл, имеющий случайное имя, состоящее из четырех символов от "A" до "V", с расширением COM. В этот файл вирус записывает 5 Кбайт своего кода и в конце дополняет его произвольным количеством байт.

Затем вирус вызывает программу-архиватор ARJ, считая, что он расположен в одном из каталогов, перечисленных в переменной PATH. Для этого используется командный процессор:

C:\COMMAND.COM /C ARJ A

В качества параметра ArjFile указывается имя найденного вирусом файла-архива. Параметр ComFile содержит имя только что созданного выполнимого файла вируса. Такая команда добавляет в обнаруженный вирусом файл-архив новый выполнимый файл вируса. Затем исходный файл вируса удаляется.

Чтобы пользователь не увидел на экране информацию, обычно отображаемую программой-архиватором ARJ, вирус временно отключает весь вывод на экран монитора.

Основная идея вируса заключается в том, что пользователь восстановивший файлы из зараженного архива обнаружит в нем неизвестный выполнимый файл и запустит его из любопытства

Необходимо выполнять поиск вирусов на всех дисках. Лучше всего если это будет делать пользователь, имеющий доступ ко всем дискам компьютера. В противном случае каждый пользователь должен будет проверять доступные ему диски. Если кто-либо из пользователей обнаружит, что на диске, доступном ему, присутствует вирус, он обязательно должен сообщить об этом всем другим пользователям компьютера.

Если вы обнаружили вирус

Самую большую ценность представляют ваши данные, записанные в компьютере. Это могут быть текстовые документы, файлы электронных таблиц, базы данных, исходные тексты программ и т. д. Их стоимость может в много и много раз превышать стоимость самого компьютера и установленного в нем программного обеспечения.

Любое программное обеспечение, разрушенное вирусами, можно восстановить с дистрибутивов или резервных копий. А вот с данными дело обстоит значительно хуже. Если данные постоянно не копировались, они могут быть безвозвратно потеряны.

Поэтому обнаружив вирус, в первую очередь надо перезагрузиться с чистой дискеты и скопировать ваши данные с жесткого диска компьютера на дискеты, магнитные ленты или любые другие устройства хранения информации. Только после этого можно приступать к лечению компьютера.

Если обнаружен вирус, то возможно, он уже разрушил хранимую в компьютере информацию. Разрушения могут носить различный характер. Возможно, файлы с данными будут уничтожены полностью и вы даже не сможете их прочитать, а возможно они будут изменены незначительно и вы не сможете это сразу заметить.

Вирус Rogue.1208

Опасный резидентный вирус. Уничтожает файлы с расширением DBF, записывая в них первый байт "R" и производя с остальным содержимым файла логическую операцию ИСКЛЮЧАЮЩЕЕ ИЛИ с числом 13, до первого символа, который имеет код 13. Уничтожает файлы CHKLIST ???. В месяц, когда сумма значения года и значения месяца равна 2000, вирус выводит текст: “Now you got a real virus! I"m the ROGUE ...!”

Постарайтесь выяснить, какой именно вирус попал к вам в компьютер и что он делает. Получить подобную информацию можно из описаний вирусов, поставляемых вместе с антивирусными программами. Фактически все антивирусные программы имеют такие списки. Они могут быть выполнены в виде простых текстовых файлов или в виде специальных гипертекстовых баз данных.

Если вы обнаружили в компьютере вирус, он уже мог успеть распространиться, заразив другие компьютеры в вашей организации. Их необходимо проверить в обязательном порядке. Многие пользователи сегодня имеют компьютеры у себя дома. Они также могут оказаться заражены.

Необходимо проверить все дискеты, использовавшиеся для работы с зараженными компьютерами. Они могут оказаться заражены загрузочными и файловыми вирусами. Вирус может сохраниться на них, а затем снова заразить компьютер. Дискеты, зараженные вирусами, надо вылечить или отформатировать.

Как лечить компьютер

После того как вы попытались скопировать с компьютера все свои данные (документы, исходные тексты, файлы баз данных) пора начинать лечение компьютера и удаление заразивших его вирусов. Для вас существует как минимум три возможности удалить вирусы из компьютера.

Самый простой из них заключается в полной смене всего программного обеспечения, установленного в компьютере. Вы должны будете переустановить операционную систему и все остальные программы заново. Если вирус заразил загрузочную запись, то ее можно обновить, отформатировав логические диски компьютера, воспользовавшись для этого командой FORMAT. Однако даже форматирование не удалит вирус из главной загрузочной записи жесткого диска. Для этого следует воспользоваться командой FDISK с недокументированным параметром /MBR, а затем снова создать на жестком диске разделы и логические диски.

Такие операции, как форматирование логического диска, удаление раздела или логического диска командой FDISK полностью уничтожают все файлы на данном диске. Поэтому предварительно удалять файлы нет никакой необходимости.

После того как вы заново создадите на жестком диске разделы и логические диски и отформатируете их, можно приступать к установке операционной системы и остальных программ. Полная установка программного обеспечения компьютера отнимает много времени. Чтобы ускорить этот процесс, по возможности устанавливайте программные продукты не с дискет, а с компакт-дисков.

Вы можете значительно облегчить восстановление работоспособности компьютера, если заблаговременно будете выполнять резервное копирование всей информации, записанной в компьютере. В этом случае после создания и форматирования логических дисков можно восстановить программное обеспечение с этих резервных копий. Как будет происходить это восстановление, зависит от средств, используемых вами при создании резервных копий.

Вторая возможность предполагает ручное удаление вирусов и восстановление поврежденных загрузочных секторов и файлов. Этот метод наиболее сложный и требует высокой квалификации. Мы расскажем о ручном восстановлении компьютера несколько позже в главе “Ручное восстановление операционной системы”.

И, наконец, последняя возможность предполагает применение специальных антивирусных программ. Антивирусные программы сами обнаружат и удалят вирусы, восстановив работоспособность компьютера. К сожалению, такое восстановление не всегда возможно, так как большая категория вирусов необратимо портит программы и данные, записанные на дисках компьютера. В этом случае необходимо заново установить программное обеспечение.

Сейчас мы очень кратко рассмотрим лечение компьютера антивирусными программами-полифагами Aidstest и Doctor Web. Более подробно об этих и других программах, позволяющих удалить вирусы из компьютера, читайте в следующей главе, которая называется “Лучшее средство”.

Лечение компьютера антивирусными программами

Целый ряд резидентных вирусов, находясь в памяти компьютера, препятствует успешному лечению зараженных программ и загрузочных секторов. Поэтому желательно выполнять лечение только после загрузки компьютера с системной дискеты, свободной от вирусов. На эту дискету предварительно надо записать антивирусные программы-полифаги, например Aidstest и Doctor Web.

Программа Aidstest позволяет удалить обнаруженные ей вирусы. Для этого запустите Aidstest с параметром /F:

Некоторые вирусы не могут быть обнаружены и удалены программой Aidstest, поэтому ее надо использовать совместно с антивирусом Doctor Web:

DRWEB * /CL /UP /CU

Программы Aidstest и Doctor Web могут лечить не только жесткие диски, но и дискеты. Для этого вместо параметра *, означающего работу со всеми жесткими дисками компьютера, надо указать имя дисковода:

AIDSTEST A: /F
DRWEB A: /CL /UP /CU

Изменения условий и задач развития субъектов хозяйствования, определяемые современными экономическими ситуациями и вызовами времени, оказывают принципиальное влияние на методы обоснования управленческих решений, организацию управленческих процессов и способы оценки результативности решений.

Учитывая, что "под методом экономического анализа понимается диалектический способ подхода к изучению хозяйственных процессов в их становлении и развитии", изменение жизненных циклов продукта, технологических укладов, видов бизнеса и глубина происходящих преобразований требуют существенного реформирования методов экономического анализа.

Учитывая необходимость четкого определения своих конкурентных преимуществ и их закрепления на длительный период, организации особое внимание уделяют стратегии развития, выдвигая стратегические ориентиры (например: освоение лидерских позиций на рынке, обеспечение лояльности клиентов, повышение социальной значимости организации), которые имеют четкие качественные характеристики. Их количественные параметры часто весьма условны и не могут быть прямо оценены.

Анализ и обоснование тенденций изменения этих групп показателей требуют существенного изменения даже таких традиционных методов анализа, как сравнение, детализация, группировка и т.п., но чаще предполагают использование других методов анализа, часто чисто логических.

На развитие методов экономического анализа особо повлияла возможность многовариантности решений, каждое из которых нерационально, а иногда и невозможно детально просчитать. Это определило ускоренное использование новых методов учета. Так, например, для перспективного, стратегического анализа намного эффективнее использовать маржинальный метод расчета затрат, который, при всей его условности, позволяет сформировать оптимальный ассортимент производства продукции. Учет и анализ полной себестоимости отдельных видов продукции проводятся только по включенным в план производства ассортиментным позициям.

Поскольку в условиях инновационного развития существенно интенсифицируются все стадии воспроизводственного цикла, часто возникает необходимость обеспечения параллельного осуществления отдельных его стадий. Многие авторы делают акцент на оценке поведения отдельных показателей на разных стадиях воспроизводственного цикла, выделяя опережающие показатели. Это характерно, прежде всего, для работ менеджерской направленности при формировании панелей индикаторов развития. Однако такой подход к классификации показателей встречается все чаще.

Для объективизации оценки возможностей развития организации и определения ее производственного, экономического и финансового потенциала имеет значение соответствие изменения показателей по стадиям воспроизводственного цикла: рост - в период подъема; уменьшение или повышение - в период спада; стабильность - в период стагнации и т.п. В связи с этим выделяют проциклические, контрциклические и ациклические показатели, динамика которых практически не связана с воспроизводственным циклом.

Усложнение классификаций системы показателей предполагает логическое развитие и уточнение традиционных методов анализа.

Так, при использовании метода сравнения все большее значение приобретает сравнение основных финансовых и экономических характеристик за длительный период, так как это позволяет выявить циклические колебания, характерные для разных видов бизнес-процессов. При горизонтальном анализе применяется качественное сравнение источников привлеченных финансовых средств и изменения отдельных групп активов организации, т.е. сочетание горизонтального и вертикального анализа.

При дальнейшем развитии экономического анализа важна классификация показателей по их роли при принятии и обосновании решений разного класса и уровня. В связи с этим для каждого решения выделяется целевой показатель, факторы, определяющие его уровень, и, что особо важно для объективности принимаемых решений, ограничения, в которых принимаются решения.

Детерминированные методы анализа, в том числе факторный, по-прежнему преобладают, но при этом активно дополняются методами удлинения и расширения характеристик, что связано с детализацией показателей-факторов с учетом их значимости.

При факторном анализе необходимо выявлять связи между изменением показателей-факторов и необходимостью лучшего использования имеющихся ресурсов или введения новых ресурсов, и это требует дополнительного финансирования. С этой целью данная группа показателей делится на факторы экстенсивного и интенсивного роста, что особенно актуально для оценки запаса финансовой прочности организации и оценки ее экономического потенциала.

Таким образом, в современных условиях все большее значение имеет профессиональное суждение аналитика при постановке задач и выборе методов экономического анализа.

Постепенно все больше применяются методы логического эвристического анализа, основывающегося на профессиональном суждении, опыте и интуиции специалистов, их индивидуальных или коллективных заключениях. Среди них можно выделить оценочные и оценочно-поисковые методы анализа (рис. 2.2)

Рис. 2.2.

Эвристические методы широко применяются при управлении персоналом, организации управления и выборе организационного поведения.

Условия, предопределяющие необходимость использования эвристических методов:

• o качественный характер исходной информации, описываемый с помощью экономических и социальных параметров, отсутствие достаточно представительных и достоверных сведений по характеристикам объекта исследования;
• o большая неопределенность исходных данных для анализа;
• o отсутствие четкого предметного описания и математической формализации предмета оценки;
• o нецелесообразность и недостаток времени и средств для исследования с применением формальных моделей на первых этапах обоснования управленческих решений;
• o отсутствие технических средств с соответствующими характеристиками для аналитического моделирования;
• o экстремальность анализируемой ситуации.

Эвристические методы анализа представляют собой особую группу приемов сбора и обработки информации, опирающуюся на профессиональное суждение группы специалистов. Их часто называют креативными.

Основой применения эвристических методов являются экспертные оценки рассматриваемых процессов, операций, результатов.

Экспертные методы анализа - это методы организации работы со специалистами-экспертами и обработки их мнений. Для решения многих аналитических задач требуется иметь независимое мнение (мнения), т.е. привлечение экспертов. Информацию, получаемую от экспертов, нельзя считать готовой для использования, она должна быть обработана и только после этого применяться для принятия управленческих решений.

При организации работы экспертов необходимо:

• - отобрать квалифицированных экспертов;
• - опросить экспертов и получить интересующую аналитика информацию;
• - определить методы обработки и интерпретации информации, полученной от экспертов.

При отборе экспертов следует учитывать их компетентность и профессиональные навыки в той области деятельности, которая подлежит изучению, способность к творческому мышлению, умение работать в группе (если привлекается несколько экспертов).

При наборе экспертов целесообразно руководствоваться такими требованиями, как:

• o высокий уровень общей эрудиции;
• o обладание специальными знаниями в анализируемой области;
• o наличие определенного практического и (или) исследовательского опыта по рассматриваемой проблеме;
• o способность к адекватной оценке тенденций развития исследуемого объекта;
• o отсутствие предвзятости, заинтересованности в конкретном результате оценки.

Члены группы в этом случае могут быть равноценными или иметь разный ранг, учитываемый при выведении результатов экспертизы.

Метод экспертной комиссии основан на выработке специально подобранными экспертами единого коллективного мнения при обсуждении поставленной проблемы и альтернатив ее решения в результате определенных компромиссов.

При использовании метода экспертной комиссии осуществляется не только статистическая обработка результатов индивидуальной балльной оценки всех экспертов, но и обмен мнениями по результатам экспертизы, уточнение оценок. Недостаток - сильное влияние авторитетов на мнение большинства участников экспертизы.

Выводы, полученные при анализе на основе эвристических методов, имеют логическое обоснование и могут иметь форму: прямой оценки (полезно, вредно, приемлемо, неприемлемо); определения предположений, т.е. выбор первоочередных или наиболее удачных решений (это может быть выявлено через ранжирование предположений, их балльную оценку и т.д.); отбора конкретных мероприятий для конкурентной проработки. Достаточно часто в состав группы экспертов включают профессиональных консультантов - профессионалов в анализируемой области.

В зависимости от целей и направленности группа экспертов может быть однородной или включать представителей разных групп специалистов, а иногда и просто заинтересованных лиц. Например, при разработке какого-то технического решения на первой стадии в состав группы экспертов включаются только специалисты соответствующего профиля. При формировании группы экспертов для анализа технологических разработок в нее включаются: технологи, которые могут профессионально оценить техническую новизну решения; экономисты, оценивающие эффективность решения; механики, которые могут оценить возможность реализации новой технологии на имеющейся производственной базе; рабочие - исполнители новой технологии.

При оценке качества продукции и спроса на нее в состав группы экспертов включаются не только товароведы, но и производители и потребители продукции.

На практике сложились достаточно сложные способы формирования группы экспертов:

• o по формальным критериям - учитываются специальность, стаж работы, длительность пребывания в одном коллективе, а также психологические оценки личности по данным социологической службы организации (если таковые имеются), например, способность к творческому мышлению, конструктивность мышления и т.п.;
• o на основе самооценки личности, полученной при анкетировании, - будущий эксперт сам оценивает свои возможности, включая квалификацию, аналитичность и конструктивность мышления, способность адаптироваться к определенным ситуациям и т.п. Дополняется специальным психологическим отбором экспертов для определения уровня их самооценки - заниженная, завышенная или адекватная;
• o на основе оценки лиц, связанных с претендентом, - профессиональные и личностные качества специалиста оцениваются специалистами аналогичного профиля, потребителями услуг, работниками, реализующими решения эксперта;
• o методом случайного отбора (выборки), если в качестве экспертов может выступать множество лиц (например, потребителей продукции и услуг).

Достаточно часто при анализе деятельности хозяйствующего субъекта в состав группы экспертов включают руководителей разных уровней и работников. Например, так формируется группа экспертов при выборе стратегии развития производства, изменении системы стимулирования, реформировании учета и отчетности, перестройке организационных структур.

Таким образом, при отборе экспертов широко используются как формальные, так и психологические методы, и эвристические методы часто называют психологическими.

При опросе экспертов могут применяться индивидуализированные и групповые методы. При индивидуальном опросе работа с каждым экспертом производится отдельно, что позволяет эксперту высказывать свое мнение независимо от других. При групповом опросе эксперты работают в группах, согласовывают свои мнения и вырабатывают общий экспертный вывод на основе единой позиции. Групповые методы предпочтительнее с точки зрения повышения надежности экспертизы, но более сложны.

Информация, полученная в процессе экспертного опроса, должна быть обработана специальными или традиционными способами анализа, после чего ее можно использовать для принятия управленческих решений.

Существует много способов получения экспертных оценок: методы Дельфи, контрольных вопросов, оценки рисков, сценариев, деловых игр, SWOT-анализа, функционально-стоимостного анализа (ФСА) и др.

Метод Дельфи - заочный и анонимный опрос экспертной группы (5-10 человек) в несколько туров с согласованием мнений экспертов. Перед каждым экспертом ставится конкретная задача, например, определить направление развития предприятия. Эксперты заполняют опросные листы по исследуемой проблеме. До участников экспертизы доводятся результаты каждого промежуточного тура опроса в виде усредненных статистических значений. При получении ответов от экспертов могут сложиться разные ситуации:

• а) все эксперты пришли к одному мнению;
• б) мнение экспертов разделилось.

В первом случае мнение экспертов принимается как результат решения задачи, во втором - процесс экспертизы будет продолжен.

Метод контрольных вопросов - поиск аналитического решения с помощью специально подготовленного перечня (списка) наводящих вопросов. Преимущество этого метода заключается в его простоте и универсальности. Контрольные вопросы составляются на основе опыта уже решенных задач, что обеспечивает эффективность метода.

Использование метода контрольных вопросов реализуется в несколько этапов:

• 1) формулируется задача, при решении которой будут использованы контрольные вопросы;
• 2) составляется список контрольных вопросов, наиболее соответствующих характеру решаемой задачи, и рассматривается каждый из них с целью использования заложенной в нем информации для решения задачи;
• 3) рассматриваются все идеи, которые можно использовать при решении задачи;
• 4) отбираются идеи, с помощью которых можно решить поставленную задачу, и разрабатывается программа мероприятий.

Обычно аналитики используют таблицу, содержащую в каждой строке вопрос (параметр) и варианты ответов (значения параметров) по определенному аспекту анализа. Отвечая на поставленные вопросы, аналитик делает пометку в графе, соответствующей его заключению. Таблица, как правило, построена таким образом, что пометки в колонках слева демонстрируют слабые стороны объекта исследования, а справа - сильные стороны или особые возможности. Регулярное использование таких таблиц позволяет определять тенденции изменения предмета анализа во времени и сравнивать его положение по отношению к другим объектам анализа.

Вопросники значительно сокращают время, необходимое для проведения анализа, уменьшают зависимость его результатов от уровня квалификации аналитика. При использовании этого метода получаются более корректные результаты, чем при балльной оценке, что объясняется следующими обстоятельствами. Эксперт вместо назначения баллов выбирает утверждение, наиболее четко характеризующее объект оценки. Ответы могут быть представлены количественными данными, например, отражающими возраст работника, или характеризовать тенденцию изменения какого-либо параметра (рост, падение), давать оценку ("отлично", "удовлетворительно" и т.д.).

Выбор путем сравнения, как правило, точнее прямого измерения, когда в конкретной ситуации у каждого эксперта свое понятие оптимального состояния оцениваемых параметров.

Опыт свидетельствует, что изначально не удается создать действенные вопросники. Аналитикам нужно быть готовыми к тому, что только после неоднократных опросов и тщательного анализа результатов оценки и аналитических документов удается создать методики, содержащие не только универсальные исходные перечни-словари, но и узкоспециализированные опросники для отдельных категорий работников с близкими задачами, отражающими сущность отношений и деятельность людей.

Метод сценариев - совокупность приемов и процедур подготовки и реализации любых хозяйственных решений. Метод применяется прежде всего для экспертного прогнозирования. Он полезен при выборе целей организации и прогнозировании, когда организацию не устраивает сложившаяся ситуация и есть необходимость расширить бизнес.

Сценарий разрабатывается группой специалистов организации и содержит описание последовательности шагов, ведущих к прогнозируемому состоянию организации, а также факторов и событий, оказывающих решающее влияние на этот процесс. Исходный пункт разработки сценария - точная оценка настоящей ситуации организации, проведенная на основе ретроспективного анализа деятельности. Такая оценка ведет к пониманию динамики влияния факторов на процессы производства и того, какие факторы обеспечивает подъем деятельности, а какие - ее спад. Для неуправляемых факторов развития должны быть сделаны специальные оценки.

Этапы разработки сценария:

• 1) определение системы показателей, на базе которых будет формироваться сценарий развития организации;
• 2) выделение факторов, определяющих развитие организации;
• 3) выявление тенденции развития;
• 4) разработка альтернативных сценариев развития и выбор основного варианта развития.

Деловые игры. Наиболее распространенной формой деловой игры является моделирование анализируемых процессов и будущего развития прогнозируемого явления в разных вариантах и рассмотрение полученных данных. Деловые игры используются как в учебном процессе, так и на производстве. Игры, которые проводятся в коллективах организаций, получили название организационно-деятельностных (оргдеятельностных). В определенном виде они включают в себя идеологию методов Дельфи и сценариев.

Все участники игры делятся на группы, каждой группе предлагается написать сценарий развития событий в организации. Группой руководит эксперт, задача которого - следить за тем, чтобы члены группы не отклонялись от установленного задания. На следующий день проводится конференция, на которой представитель каждой группы выступает с докладом, в котором отражает групповое видение развития событий в организации. Члены других групп активно участвуют в обсуждении доклада и стараются убедить других, что их перспектива обозначена более конкретно и убедительно. В конце дня руководитель игры и эксперты подводят итоги конференции и обращают внимание коллектива на отсутствие единства мнений по обсуждаемым вопросам. Группы расходятся и готовят новый сценарий. На следующий день снова проводится конференция, на которой заслушиваются новые доклады. Экспертов должны подвести участников к тому, чтобы они вместе добивались поставленных целей. Когда это проявляется на конференциях, т.е. большинство докладов выражает единство мнений, участники игры перестают работать в группах и единым коллективом вырабатывают общий сценарий. В результате игры происходит сплочение коллектива, что может служить основой успешной деятельности.

Для обеспечения точности оценки рисков допускается максимальный разброс их оценки, т.е. обеспечивается более жесткий подход к согласованности мнения экспертов.

Одним из наиболее распространенных эвристических методов является метод аналогии, когда группа экспертов рассматривает возможный метод разрешения проблемы или ищет причину сложившейся ситуации, опираясь на прошлый опыт своих или аналогичных субъектов хозяйствования. В этом случае эксперты продумывают свой опыт и те ситуации, с которыми им приходилось сталкиваться, и, основываясь на нем, предлагают способы решения поставленной задачи, выясняя причины сложившейся ситуации и пути их устранения.

Естественно, что в этом случае большим подспорьем служит использование материалов с описанием аналогичных ситуаций в разные периоды и на разных объектах. Они могут быть получены из периодических изданий, научной литературы, а также из протоколов собраний учредителей, совета директоров, заседаний отделов и специализированных групп, работающих в организации. Значительный интерес с этой точки зрения представляет банк ситуаций, проанализированных и обобщенных специализированными консультационными фирмами. Такие банки данных созданы во многих консультационных фирмах мира. Следует отметить, что первые шаги создания аналогичных материалов были сделаны в 1980-е гг. на консультационных фирмах СССР. В настоящее время эта работа продолжается в Ассоциации научных консультантов России и консультационных фирмах.

В том случае, когда эксперты получают материалы ситуаций, складывающихся в других объектах, в их задачу входит отбор тех, которые по принципиальным положениям сходны с решаемой, т.е. оценивается сходство объекта, ситуации, целей, которые преследует анализ. После такого отбора определяются возможность использования опыта по разрешению проблемы и готовность объекта к реализации конкретных мер: состояние производственно-технической базы, квалификация кадров, наличие финансовых ресурсов и возможность их привлечения, период разрешения задачи и т.п.

Метод аналогий позволяет только определить основные направления экономического анализа и на следующих этапах нуждается в более глубоком анализе с использованием количественных методов. Однако предварительное использование такого метода предупреждает неоправданно детальный анализ в том направлении, которое не раскрывает основных причин сложившейся ситуации. Метод аналогий часто называют синектическим.

К группе методов, использующих критерии оценки, относятся целевая оценка, "паутина", типология и репертуарные решетки.

Целевая оценка - оценка объектов анализа по определенным критериям (компонентам целевой системы). При его использовании:

• o выбираются критерии (компоненты целевой системы) оценки альтернатив;
• o всем вариантам решений по каждому критерию присваивается ранг предпочтения (порядковый номер приемлемости);
• o по каждой альтернативе рассчитывается суммарный ранг по всем критериям;
• o осуществляется ранжирование вариантов по суммарному рангу.

Методом многокритериального сравнения альтернатив является и графический количественно-качественный метод "паутина". Он может использоваться во всех случаях, когда оценку объектов анализа целесообразно осуществлять по разнообразным количественным и качественным признакам. Основное достоинство метода - визуализация результатов анализа, что особенно ценно при представлении материалов исследования не узким специалистам, а руководителям.

К эвристическим методам анализа, предусматривающим как генерирование вариантов аналитических решений, так и их оценку, относятся: мозговой штурм (мозговая атака), комиссии и конференции, банк идей, коллективный блокнот, активный социологический тестированный анализ и контроль, функционально-стоимостной анализ, деловые игры и др.

Большой эффект для анализа особо сложных ситуаций может дать метод мозгового штурма. Мозговой штурм - свободное генерирование идей, высказываемых в группе заинтересованных экспертов. Как правило, эффективный мозговой штурм достаточно короток (не более часа). В нем могут принимать участие не только высококвалифицированные специалисты, но и молодежь, способная внести неожиданные неординарные предложения. Однако, чтобы результаты мозгового штурма можно было реально использовать, важно участие в нем лиц, принимающих решение. В этом случае, систематизировав предложения участников, можно часть из них сразу отбросить как идеальные, а остальные обсудить более подробно со специалистами соответствующего профиля.

Отбор идей проводится постепенно. На первом этапе ни одна из них не отбрасывается и, как правило, вообще никакие оценки не высказываются. Затем идеи оцениваются по уровню проработанности, срокам и стоимости реализации, эффективности и т.п. На втором этапе анализа может использоваться один или несколько рассмотренных ранее методов оценки и выбора решений. Мозговой штурм может быть составной частью аналитической работы, особенно при перспективном анализе.

Мозговой штурм - способ, позволяющий находить новые варианты решений в проблемной ситуации. Он основан на разделении во времени процесса поиска идей и их оценки. Это относительно быстрый и экономный способ анализа, предназначенный для разрешения трудностей и противоречий, с которыми управленческий персонал столкнулся или, вероятно, столкнется в ближайшей перспективе, а также для устранения узких мест, сдерживающих развитие системы управления. Метод эффективен при решении нетрадиционных поисковых задач стратегического назначения. Мозговую атаку следует организовывать тогда, когда проблема не поддается традиционному решению. В первую очередь речь идет о структурной политике, совершенствовании существующих способов работы.

Метод комиссий и конференций - наиболее распространенная форма групповой работы, в процессе которой происходит свободное выдвижение идей, осуществляется их критика. Он основан главным образом на приобретаемой в процессе многочисленных заседаний и дискуссий привычке к критическим оценкам новых и недостаточно обоснованных идей. Недостаток метода заключается в том, что аналитики в своих суждениях изначально ориентированы на компромисс, что увеличивает риск получения искаженных результатов анализа.

Метод коллективного блокнота обеспечивает выдвижение членами коллектива независимых идей с последующей оценкой предложений. С этой целью каждый член коллектива получает блокнот, в котором в общих чертах изложена суть анализируемого вопроса, приведены необходимые вспомогательные и справочные материалы (например, схемы документооборота, должностные инструкции и т.д.).

В течение заранее установленного времени они записывают в свои блокноты результаты анализа и предложения, а в заключение дают оценку своих идей, выделяя лучшие. Блокноты сдаются координатору для подготовки обобщающей записки. Оценка групповых аналитических альтернатив осуществляется любым из рассмотренных ранее методов оценки.

Метод коллективного блокнота удобен в тех случаях, когда невозможно организовать продолжительную совместную работу, привлечь опытных консультантов. Для использования метода необходимо наличие в коллективе организации творчески мыслящих, опытных специалистов.

Такой метод работы, как банк идей, предполагает обращение к картотеке или автоматизированной базе данных, создаваемой в процессе практической деятельности. В указанных хранилищах собираются и систематизируются наиболее интересные примеры решения задач. Сюда включаются как оригинальные, так и типичные варианты с оценкой их применимости. Метод может быть полезен при решении поисковых задач текущего (чаще) и стратегического (реже) анализа.

Метод активного социологического тестированного анализа и контроля (МАСТАК) заключается в разработке и применении пособия, содержащего конкретные рекомендации по совершенствованию деятельности пользователей данного материала. Игровой командный способ разработки пособия предусматривает несколько шагов:

• 1) организатор объявляет тему для выработки рекомендаций по результатам анализа, например: "Организационная структура предприятия";
• 2) каждый из членов группы экспертов в течение заранее определенного времени формулирует рекомендации по указанной тематике, стараясь отработать их стилистически точно и ясно;
• 3) каждый эксперт по очереди называет номер своей рекомендации (первый, второй и т.д.) и зачитывает ее вслух. Остальные члены команды проставляют балл данной рекомендации. Система баллов может быть произвольной - от 7 до 10, но заранее установленной организатором. Если оценивающие члены группы считают рекомендацию чрезвычайно полезной, они дают ей один из высших баллов, если абсурдной, то указывают ноль баллов. Затем следующий разработчик читает свою рекомендацию. И так до тех пор, пока не будут оглашены и оценены все различающиеся советы. Организатор следит, чтобы все называли номера и соблюдалась очередность;
• 4) координатор собирает все предложения членов группы, подсчитывает суммарный балл каждой рекомендации, распределяет предложения по рубрикам, располагая их внутри рубрик в последовательности, соответствующей убыванию полученных баллов. Рекомендации, которые получили незначительное число баллов по сравнению с другими предложениями, из рассмотрения исключаются.

Особое место в эвристических методах занимает SWOT-анализ. Название анализа состоит из первых букв выражений: strength - сила, weakness - слабость, opportunity - возможность, threats - риски и ограничения.

Данный метод, являющийся особой разновидностью экспертных методов, показал высокую эффективность при разработке решений в системах, которым присущи динамичность, управляемость, зависимость от внутренних и внешних факторов, цикличность и т.п.

SWOT-анализ - это определение сильных и слабых сторон организации, а также возможностей и угроз, исходящих из ее рыночного окружения (внешних факторов). Эти составляющие означают:

• o сильные стороны - преимущества организации;
• o слабости - недостатки организации;
• o возможности - факторы внешней среды, использование которых создаст преимущества организации на рынке;
• o угрозы - факторы, которые могут потенциально ухудшить положение организации на рынке.

Проведение SWOT-анализа сводится к заполнению матрицы, в соответствующих ячейках которой отражаются сильные и слабые стороны организации, а также рыночные возможности и угрозы (рис. 2.3).

Этапы проведения SWOT-анализа:

• 1) выбирается группа специалистов предприятия, которые будут выступать экспертами при проведении SWOT-анализа, и назначается руководитель группы;
• 2) на заседании группы определяется система показателей, по которым будет оцениваться каждая составляющая анализа;
• 3) готовятся опросные листы для оценки выбранных показателей по каждой составляющей анализа;
• 4) проводится опрос экспертов и выводится оценка каждого показателя;
• 5) производится ранжирование оценок по каждой составляющей анализа;
• 6) на основе ранжирования разрабатывается стратегия развития организации.

Рис. 2.3.

Заполнение матрицы - сложный процесс, требующий высокой квалификации экспертов. Это связано с тем, что один и тот же показатель деятельности организации может быть как угрозой, так и возможностью. Но когда матрица заполнена и выражено единое мнение экспертов, организация имеет достаточно полную информацию о ситуации, в которой она находится, чтобы определить свои перспективы.

Чтобы матрица была более объективной, при ее заполнении необходимо охарактеризовать все стороны деятельности организации, включая производственную, финансовую, маркетинговую, организационную, инвестиционную. При таком подходе SWOT-анализ позволит выбрать оптимальный путь развития организации, избежать опасностей и максимально эффективно использовать имеющиеся ресурсы.

Как было отмечено, в последние годы значительное внимание уделяется использованию функционально-стоимостного анализа (ФСА) как метода системного исследования функций объекта (изделия, процесса, структуры), направленного на минимизацию затрат на всех стадиях жизненного цикла при сохранении (повышении) качества и полезности объекта для потребителей.

Наибольшие результаты ФСА дает на этапе разработки продукции. Но данный вид анализа может также применяться, когда продукт уже внедрен на рынок. Это обусловлено необходимостью поддержки конкурентоспособности продукции, и на данном этапе применение ФСА способствует улучшению ее стоимостных характеристик.

ФСА направлен на обнаружение, предупреждение, сокращение или ликвидацию излишних затрат. Это обеспечивается за счет всестороннего изучения функций, выполняемых объектом, и затрат, необходимых для их проведения. При этом принято выделять:

• o основные функции - обеспечивают работоспособность объекта;
• o вспомогательные функции - способствуют реализации основных функций или дополняют их;
• o ненужные функции - не содействуют выполнению основных функций, а, напротив, ухудшают технические параметры или экономические показатели объекта.

Выявление функций требует высокой профессиональной подготовки экспертов, знания сущности изучаемого объекта и методики анализа.

Работа экспертов строится, как правило, на основе списка контрольных вопросов.

При проведении ФСА принято выделять несколько этапов: подготовительный, информационный, аналитический, творческий, исследовательский, рекомендательный и внедрения.

На первых двух этапах осуществляется общая подготовка к проведению ФСА: уточняется объект анализа; подбирается группа компетентных специалистов для решения поставленной задачи; производятся сбор и обобщение данных об исследуемом объекте.

На следующих трех этапах производятся детализация изучаемого объекта на функции, их классификация и определение стоимости каждой из них; решаются задачи по совмещению функций, ликвидации ненужных функций, удешевлению элементов объекта и отбору наиболее реальных вариантов с точки зрения их реализации.

На завершающих двух этапах готовится вся необходимая документация по выбранному варианту усовершенствованного объекта, определяется его экономический эффект и оформляется отчет о результатах ФСА.

Главным при проведении ФСА является аналитический этап, на котором подробно изучаются функции объекта (продукта) и анализируются возможности уменьшения затрат на их осуществление путем устранения или перегруппировки (по возможности) второстепенных и ненужных функций.

Снижение затрат в результате проведения ФСА может оказать существенное влияние на прибыль на всех этапах развития организации. Если предположить, что в результате проведения ФСА были снижены затраты на продукт на стадии его разработки, то он выйдет на рынок с более низкой себестоимостью.

Таким образом, использование эвристических методов анализа позволяет эффективно провести как текущий, так и стратегический анализ в условиях неустойчивой среды функционирования и высокой инновационности развития организаций; дать взвешенную оценку имущественного, финансового состояния организации и обосновать перспективы ее развития.

Статья относится к Kaspersky Endpoint Security 10 для Windows:

• Service Pack 2 Maintenance Release 4 (версия 10.3.3.304);
• Service Pack 2 Maintenance Release 3 (версия 10.3.3.275);
• Service Pack 2 Maintenance Release 2 (версия 10.3.0.6294);
• Service Pack 2 Maintenance Release 1 (версия 10.3.0.6294);
• Service Pack 2 (версия 10.3.0.6294).

Что такое эвристический анализ

Эвристический анализ - технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз «Лаборатории Касперского». Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.

Эвристический анализатор - это модуль, который работает на основе технологии эвристического анализа.

Статический и Динамический анализ

Статический анализ. Эвристический анализатор сканирует код на подозрительные команды, например, поиск и изменение исполняемых файлов. При наличии подозрительных команд или фрагментов, эвристический анализатор увеличивает «счетчик подозрительности» программы. Если после сканирования всего кода программы значение счетчика превышает заданное пороговое значение, то объект признается подозрительным.

Динамический анализ. Эвристический анализатор эмулирует запуск программы в виртуальном адресном пространстве. Если в процессе эмуляции эвристический анализатор обнаруживает подозрительные действия, то объект признаются вредоносными и его запуск на компьютере пользователя блокируется.

Kaspersky Endpoint Security 10 для Windows использует статический анализ в сочетании с динамическим.

В каких компонентах защиты используется эвристический анализатор

• Файловый Антивирус. Подробнее в справке .
• Почтовый Антивирус. Подробнее в справке .
• Веб-Антивирус. Подробнее в справке .
• Контроль активности программ. Подробнее в справке .
• Задачи проверки. Подробнее в справке .

Полная поддержка

Выпуск баз	Да
Поддержка	Да
Выпуск патчей	Да

Последняя версия:

Дата коммерческого релиза:

Релиз последней версии:

Что означает статус?

• Выпуск баз

  Выпуск обновлений баз, необходимых для обеспечения защиты вашего компьютера/сервера/мобильного устройства.

• Поддержка

  Оказание технической поддержки по телефону и через веб-форму.

• Выпуск патчей

  Выпуск пакетов обновлений для программы (для устранения обнаруженных ошибок).

Kaspersky Endpoint Security 10 для Windows (для рабочих станций и файловых серверов)

• Microsoft Windows Server 2012 R2 Foundation / Essentials / Standard / Datacenter х64.
• Microsoft Windows Server 2012 Foundation / Essentials / Standard / Datacenter х64.
• Microsoft Small Business Server 2011 Essentials / Standard х64.
• Windows MultiPoint Server 2011 x64.
• Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise / Datacenter х64 SP1.
• Microsoft Windows Server 2008 Standard / Enterprise / Datacenter х64 SP2.
• Microsoft Small Business Server 2008 Standard / Premium х64.

Остальные ограничения поддержки серверных платформ смотрите в статье .

• VMWare ESXi 6.0.0 3620759.
• Microsoft Hyper-V 3.0.
• Citrix XenServer 7.0.
• Citrix XenDesktop 7.13.

статье .

• Microsoft Windows Server 2008 R2 Standard / Enterprise х64 SP1.
• Microsoft Windows Server 2008 Standard / Enterprise х64 SP2.

Ограничения поддержки серверных платформ

• Файловая система ReFS поддерживается с ограничениями.
• Конфигурации Server Core и Cluster Mode не поддерживаются.
• Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Поддерживаемые виртуальные платформы

• VMWare ESXi 6.0.0 3620759.
• Microsoft Hyper-V 3.0.
• Citrix XenServer 7.0.
• Citrix XenDesktop 7.13.
• Citrix Provisioning Services 7.13.

Особенности и ограничения поддержки виртуальных платформ

• Полнодисковое шифрование (FDE) на виртуальных машинах Hyper-V не поддерживается.
• Полнодисковое шифрование (FDE) и шифрование файлов и папок (FLE) на виртуальных платформах Citrix не поддерживается.
• Для поддержки совместимости Kaspersky Endpoint Security для Windows с Citrix PVS необходимо выполнять установку с включенной опцией Обеспечить совместимость с Citrix PVS . Вы можете включить опцию в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать KUD-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.

Прочие особенности поддержки виртуальных платформ смотрите в статье .

Версия 10.2.6.3733: Аппаратные и программные требования

Общие требования

• 1 ГБ оперативной памяти.

Операционные системы

• Microsoft Windows 10 Pro / Enterprise x86 / х64.
  Microsoft Windows 8.1 Pro / Enterprise x86 / х64.
• Microsoft Windows 8 Pro / Enterprise x86 / х64.
• Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / х64 SP1 и выше.
• Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / х64.
• Microsoft Windows Server 2016 Standard / Essentials х64.

• Microsoft Small Business Server 2011 Standard х64.

Поддерживаемые виртуальные платформы

• VMWare ESXi 5.5.0 2718055 Update 2.
• Citrix XenServer 6.5.
• Citrix XenDesktop 7.8.

Ограничения поддержки серверных платформ

• Файловая система ReFS поддерживается с ограничениями.
• Конфигурации Server Core и Cluster Mode не поддерживаются.
• Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Поддерживаемые виртуальные платформы

• Citrix XenServer 6.2.
• Citrix XenDesktop 7.5.

Особенности и ограничения поддержки виртуальных платформ

Версия 10.2.5.3201: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

• Процессор Intel Pentium 1 ГГц и выше.
• 1 ГБ оперативной памяти.
• 2 ГБ свободного места на жестком диске.

Программные и аппаратные требования к рабочим станциям

• Microsoft Windows 10 Pro x86 / х64.
• Microsoft Windows 10 Enterprise x86 / х64.
• Microsoft Windows Vista x86 / х64 SP2 и выше.
• Microsoft Windows XP Professional x86 SP3 и выше.
• Microsoft Windows Server 2019 х64.
• Microsoft Windows Server 2016 Standard / Essentials х64.

• Microsoft Windows Server 2012 R2 Foundation / Standard / Essentials х64.
• Microsoft Windows Server 2012 Foundation / Standard / Essentials х64.
• Microsoft Small Business Server 2011 Standard х64.
• Microsoft Windows MultiPoint Server 2011 х64.
• Microsoft Small Business Server 2008 Standard / Premium x64.
• Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise х64 SP1 и выше.
• Microsoft Windows Server 2008 Foundation / Standard / Enterprise х86 / х64 SP2 и выше.
• Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 и выше.
• Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2.
• Microsoft
• Microsoft
• Microsoft Windows Embedded Standard 7* x86 / x64 SP1.
• Microsoft Windows Embedded POSReady 7* x86 / x64.

Особенности и ограничения поддержки встраиваемых операционных систем

• Операционные системы Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) или Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) рекомендуется использовать на устройствах с оперативной памятью от 2 ГБ.
• Шифрования файлов (FLE) и жестких дисков (FDE) во встраиваемых операционных системах не поддерживается.

Поддерживаемые виртуальные платформы

• VMWare ESXi 5.5.0 2718055 Update 2.
• VMWare ESXi 5.5.0 3568722 Update 3b.
• VMWare ESXi 5.5.0 2718055 Update 2.
• Microsoft Hyper-V 3.0 (Windows Server 2012 R2).
• Citrix XenServer 6.5.
• Citrix XenDesktop 7.8.
• Citrix Provisioning Server 7.8.

Ограничения поддержки серверных платформ

• Файловая система ReFS поддерживается с ограничениями.
• Конфигурации Server Core и Cluster Mode не поддерживаются.
• Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

• Не поддерживается обновление Windows 8 на 8.1.
• Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
• Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

• VMWare ESXi 5.5.0 1623387 Update 1.
• VMWare ESXi 5.5.0 2068190 Update 2.
• Microsoft Hyper-V 3.0 (Windows Server 2012).
• Citrix XenServer 6.2.
• Citrix XenDesktop 7.5.
• Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

• Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
• Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
• Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Версия 10.2.4.674: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

• Процессор Intel Pentium 1 ГГц и выше.
• 2 ГБ свободного места на жестком диске.
• Microsoft Internet Explorer 7.0 и выше.
• Microsoft Windows Installer 3.0 и выше.
• Подключение к интернету для активации программы, обновления баз и программных модулей.

Программные и аппаратные требования

• Microsoft Windows 10 TH2 Pro версия 1511 x86 / х64.
• Microsoft Windows 10 TH2 Enterprise версия 1511 x86 / х64.
• Microsoft Windows 8.1 Pro x86 / х64.
• Microsoft Windows 8.1 Enterprise x86 / х64.
• Microsoft Windows 8 Pro x86 / х64.
• Microsoft Windows 8 Enterprise x86 / х64.
• Microsoft Windows 7 Professional x86 / х64 SP1 и выше.
• Microsoft Windows 7 Enterprise / Ultimate x86 / х64 SP1 и выше.
• Microsoft Windows 7 Professional x86 / х64.
• Microsoft Windows 7 Enterprise / Ultimate x86 / х64.
• Microsoft Windows Vista x86 / х64 SP2 и выше.
• Microsoft Windows XP Professional x86 SP3 и выше.
• Microsoft Windows Server 2012 R2 Standard / Essentials / Enterprise х64.
• Microsoft Windows Server 2012 Foundation / Standard / Essentials х64.
• Microsoft Small Business Server 2011 Standard / Essentials х64.
• Microsoft Windows MultiPoint Server 2011 х64.
• Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation х64 SP1 и выше.
• Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation х64.
• Microsoft Windows Server 2008 Standard / Enterprise х86 / х64 SP2 и выше.
• Microsoft Small Business Server 2008 Standard / Premium x64.
• Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 и выше.
• Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2 и выше.
• Microsoft Windows Embedded 8.0 Standard x64.
• Microsoft Windows Embedded 8.1 Industry Pro x64.
• Microsoft Windows Embedded Standard 7 x86 / x64 SP1.
• Microsoft Windows Embedded POSReady 7 x86 / x64.

Особенности и ограничения поддержки встраиваемых операционных систем

• Операционные системы Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) или Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) рекомендуется использовать на устройствах с оперативной памятью от 2 ГБ.
• Шифрования файлов (FLE) и жестких дисков (FDE) во встраиваемых операционных системах не поддерживается.

Ограничения поддержки серверных платформ

• Файловая система ReFS поддерживается с ограничениями.
• Конфигурации Server Core и Cluster Mode не поддерживаются.
• Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

• Не поддерживается обновление Windows 8 на 8.1.
• Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
• Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

• VMWare ESXi 5.5.0 1623387 Update 1.
• VMWare ESXi 5.5.0 2068190 Update 2.
• Microsoft Hyper-V 3.0 (Windows Server 2012).
• Citrix XenServer 6.2.
• Citrix XenDesktop 7.5.
• Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

• Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
• Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
• Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Версия 10.2.2.10535MR1: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

• Процессор Intel Pentium 1 ГГц и выше.
• 1 ГБ свободной оперативной памяти.
• 2 ГБ свободного места на жестком диске.
• Microsoft Internet Explorer 7.0 и выше.
• Microsoft Windows Installer 3.0 и выше.
• Подключение к интернету для активации программы, обновления баз и программных модулей.

Операционные системы

• Microsoft Windows 8.1 Pro x86 / х64.
• Microsoft Windows 8.1 Enterprise x86 / х64.
• Microsoft Windows 8 Pro x86 / х64.
• Microsoft Windows 8 Enterprise x86 / х64.
• Microsoft Windows 7 Professional x86 / х64 SP1 и выше.
• Microsoft Windows 7 Enterprise / Ultimate x86 / х64 SP1 и выше.
• Microsoft Windows 7 Professional x86 / х64.
• Microsoft Windows 7 Enterprise / Ultimate x86 / х64.
• Microsoft Windows Vista x86 / х64 SP2 и выше.
• Microsoft Small Business Server 2011 Standard х64.
• Microsoft Windows Server 2012 R2 Standard х64.
• Microsoft Windows Server 2012 Foundation / Standard х64.
• Windows Embedded 8.0 Standard x64.
• Windows Embedded 8.1 Industry Pro x64.

Особенности и ограничения поддержки встраиваемых операционных систем

• Операционные системы Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) или Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) рекомендуется использовать на устройствах с оперативной памятью от 2 ГБ.
• Шифрования файлов (FLE) и жестких дисков (FDE) во встраиваемых операционных системах не поддерживается.

Ограничения поддержки серверных платформ

• Файловая система ReFS поддерживается с ограничениями.
• Конфигурации Server Core и Cluster Mode не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

• Не поддерживается обновление Windows 8 на 8.1.
• Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
• Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

• VMWare ESXi 5.5.0 1623387 Update 1.
• VMWare ESXi 5.5.0 2068190 Update 2.
• Microsoft Hyper-V 3.0 (Windows Server 2012).
• Citrix XenServer 6.2.
• Citrix XenDesktop 7.5.
• Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

• Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
• Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
• Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Версия 10.2.2.10535: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

• Процессор Intel Pentium 1 ГГц и выше.
• 1 ГБ свободной оперативной памяти.
• 2 ГБ свободного места на жестком диске.
• Microsoft Internet Explorer 7.0 и выше.
• Microsoft Windows Installer 3.0 и выше.
• Подключение к интернету для активации программы, обновления баз и программных модулей.

Операционные системы

• Microsoft Windows 8.1 Update Pro x86 / х64.
• Microsoft Windows 8.1 Update Enterprise x86 / х64.
• Microsoft Windows 8.1 Pro x86 / х64.
• Microsoft Windows 8.1 Enterprise x86 / х64.
• Microsoft Windows 8 Pro x86 / х64.
• Microsoft Windows 8 Enterprise x86 / х64.
• Microsoft Windows 7 Professional x86 / х64 SP1 и выше.
• Microsoft Windows 7 Enterprise / Ultimate x86 / х64 SP1 и выше.
• Microsoft Windows 7 Professional x86 / х64.
• Microsoft Windows 7 Enterprise / Ultimate x86 / х64.
• Microsoft Windows Vista x86 / х64 SP2 и выше.
• Microsoft Small Business Server 2011 Essentials х64.
• Microsoft Small Business Server 2011 Standard х64.
• Microsoft Small Business Server 2008 Standard x64.
• Microsoft Small Business Server 2008 Premium x64.
• Microsoft Windows Server 2012 R2 Standard х64.
• Microsoft Windows Server 2012 Foundation / Standard х64.
• Microsoft Windows MultiPoint Server 2011 x64.
• Microsoft Windows Server 2008 R2 Standard х64 SP1 и выше.
• Microsoft Windows Server 2008 R2 Standard х64.
• Microsoft Windows Server 2008 R2 Enterprise х64 SP1 и выше.
• Microsoft Windows Server 2008 R2 Enterprise х64.
• Microsoft Windows Server 2008 R2 Foundation x64 SP1 и выше.
• Microsoft Windows Server 2008 R2 Foundation x64.
• Microsoft Windows Server 2008 Standard х86 / х64 SP2 и выше.
• Microsoft Windows Server 2008 Enterprise х86 / х64 SP2 и выше.
• Microsoft Windows Server 2003 R2 Standard x86 / x64 SP2 и выше.
• Microsoft Windows Server 2003 R2 Enterprise x86 / x64 SP2 и выше.
• Microsoft Windows Server 2003 Standard x86 / x64 SP2.
• Microsoft Windows Server 2003 Enterprise x86 / x64 SP2 и выше.
• Windows Embedded 8.0 Standard x64.
• Windows Embedded 8.1 Industry Pro x64.
• Windows Embedded Standard 7 with SP1 x86 / х64.
• Windows Embedded POSReady 7 x86 / х64.

Особенности и ограничения поддержки встраиваемых операционных систем

• Операционные системы Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) или Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) рекомендуется использовать на устройствах с оперативной памятью от 2 ГБ.
• Шифрования файлов (FLE) и жестких дисков (FDE) во встраиваемых операционных системах не поддерживается.

Ограничения поддержки серверных платформ

• Файловая система ReFS поддерживается с ограничениями.
• Конфигурации Server Core и Cluster Mode не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

• Не поддерживается обновление Windows 8 на 8.1.
• Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
• Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

• VMWare ESXi 5.5.0 1623387 Update 1.
• VMWare ESXi 5.5.0 2068190 Update 2.
• Microsoft Hyper-V 3.0 (Windows Server 2012).
• Citrix XenServer 6.2.
• Citrix XenDesktop 7.5.
• Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

• Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
• Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
• Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.