Resident vírusok, és hogyan lehet elpusztítani 1
Mi a memória rezidens vírusokat?
Szóval, mi a helyzet felhasználó? Ahhoz, hogy a magyarázat egyszerűsítése a szerkezet és működési elvek Az ilyen vírusok kezdeni, hogy összpontosítson elmagyarázza, mi a rezidens program általában.
Úgy gondoljuk, hogy az ilyen típusú szoftver tartalmaz futó alkalmazások folyamatosan figyelő üzemmódban, explicit módon nem jelenik meg a tevékenységek (például ugyanolyan rendszeres víruskeresők). Ami a veszélyeket, amelyek behatolnak a számítógépes rendszer, nem csak lógni állandóan a memóriában a számítógép, hanem hozzon létre saját páros. Így a vírus egy példányát, és folyamatosan figyelemmel kíséri a rendszer, és mozgassa rajta, ami megnehezíti, hogy megtalálja őket. Néhány fenyegetések is megváltoztathatja saját szerkezete, és ezek felderítése alapján a hagyományos módszerek szinte lehetetlen. Egy kicsit később, egy pillantást, hogyan lehet megszabadulni a vírusok az ilyen típusú. Időközben, a hangsúly a fő fajták rezidens fenyegetések.
DOS-veszély
Kezdetben, amikor a Windows- és UNIX-szerű rendszerek még nem létezett, és a felhasználó a kommunikáció a számítógép van az utasítás szinten volt egy „operációs rendszer» DOS, elég hosszú, hogy tartsa a csúcs a népszerűsége.
És ez az ilyen rendszereket állítottak fel a nem rezidens és rezidens vírusok, amelyek hatása először irányítani a rendszer meghibásodása vagy eltávolítása egyedi fájlok és mappák.
A működési elve az ilyen fenyegetések, amely egyébként széles körben használják eddig az, hogy elfogják a hívásokat fájlokat, majd megfertőzi a hívott. Azonban a legtöbb ismert fenyegetések ma alatt működik ez a fajta. De itt van a vírusok behatolnak a rendszerbe, vagy hozzon létre egy rezidens modul formájában egy meghajtót, ami meg van adva a rendszer konfigurációs fájlban, a Config.sys, vagy a speciális funkciók nyomkövető KEEP megszakítások.
Mindez a vírus egy példányát fenyegetés annyira kitartó, hogy, ellentétben a nem-rezidens vírusok futni, amíg valamilyen külső programmal, vagy operációs rendszer funkciói, újra aktiválható még újraindítás után. Ezen kívül, ha hozzáfér a fertőzött objektumot a vírus képes létrehozni a saját példányát, még a memóriában. Ennek eredményeként - instant megállt a számítógépet. Mint látszik, a kezelés a vírusok az ilyen típusú kell végezni a segítségével speciális szkennerek, és kívánatos, nem stacionárius, hordozható vagy azok, akik képesek indítani az optikai meghajtót vagy USB-meghajtót. De erről később.
csomagtartó fenyegetés
Boot vírusok behatolnak a rendszerbe hasonló módszerrel. Ez csak úgy viselkednek, az úgynevezett, finoman, először „eszik” egy darab memória (jellemzően 1 KB, de néha ez a szám elérheti a maximum 30 KB), majd felírásakor saját kódját a másolat formájában, majd kezd újraindítás szükséges. Ez tele van negatív következményeket, mert miután újra a vírus visszaállítja a csökkentett memória eredeti méretét, és annak egy példányát kívül a rendszer memória.
Amellett, hogy a nyomkövető megszakítások ilyen vírusok képesek felírni a saját kódját a boot szektor (MBR rekordot). Ritkábban használt BIOS észleli és a DOS és a vírus önmagában betöltését követően ellenőrzése nélkül a saját példányban.
Vírusok Windows
Az Advent a vírus fejlesztés a Windows-rendszerek elértek egy új szintet, sajnos. Ma már minden Windows-verzió tartják a leginkább sérülékeny rendszert, annak ellenére, hogy az erőfeszítéseket, amelyeket a Microsoft szakértői a fejlesztés biztonsági modulokat.
Vírusok tervezett Windows-on, azon az elven működik hasonló a DOS veszélyeztető, egyetlen módja, hogy behatoljon a számítógép még sokkal több. A leggyakoribb három fő, ami a vírus előírhat saját kódrendszer:
- Regisztráció vírus, mint az éppen futó alkalmazások;
- elosztása a memória egy és írd rá a saját példányát;
- dolgozni a rendszer leple alatt vagy leplezése Vxd illesztőprogramok a Windows NT driver.
Fertőzött fájlokat vagy rendszer memória területet, elvileg, gyógyítható a szokásos módszerekkel, amelyeket az anti-vírus szkennerek (vírus kimutatására maszk, összehasonlítva adatbázisok aláírások, és így tovább. D.). Azonban, ha használt igénytelen ingyenes programok, nem tudják azonosítani a vírust, és néha még egy hamis pozitív. Ezért a gerenda használható, hordozható eszközök, mint a "Doctor Web" (különösen Dr. Web CureIt!) Vagy termékek "Kaspersky Lab". Ma azonban megtalálható egy csomó eszköz az ilyen típusú.
Makróvírusok
Vírusok alapján „lopakodó” technológiával
Most nézd meg a burkolt vírusok, így nem csoda, hogy nevüket a lopakodó repülőgép.
A lényege, hogy működése éppen abban áll, hogy azok be magukat, mint egy olyan rendszer komponenst és meghatározzák a hagyományos módszerekkel néha elég nehéz. Ezek közül fenyegetések megtalálható és makro vírusok, és indítsa a fenyegetés, és a DOS-vírusok. Úgy véljük, hogy a Windows lopakodó vírusok még nem fejlődött, bár sok szakértő azt állítják, hogy ez csak idő kérdése.
fájl fajták
Általában minden vírus lehet nevezni a fájlt, mert valahogy befolyásolja a fájlrendszert, és hatnak a fájlokat, vagy megfertőzni őket saját kódját, vagy titkosítása, vagy hogy megközelíthetetlen miatt a korrupció vagy törlését.
A legegyszerűbb példa a modern kódolók vírusok (piócák), és hírhedt Szeretlek. Termelnek anti-vírus nem valami, amit nehéz anélkül, hogy speciális rasshifrovochnyh kulcs, és gyakran lehetetlen csinálni. Még a vezető fejlesztők az anti-vírus szoftver tehet semmit vállrándítással, mert ellentétben ma AES256 titkosítási rendszer, akkor használják AES1024 technológia. Érti, hogy az átirat eltarthat több mint egy évtizede, amely a számos lehetséges billentyűkombinációk.
polimorf veszélyek
Végül egy másik különböző fenyegetések, amelyek használata a jelenség a polimorfizmus. Mi ez? Az a tény, hogy a vírusok állandóan változnak a saját kódját, és ez alapján történik a úgynevezett lebegő kulcsot.
Más szóval, egy maszk segítségével azonosítja a fenyegetés nem lehetséges, mivel, ahogy változik nemcsak a minta alapján a kódot, hanem kulcsa dekódolást. polimorf speciális dekódoló (transcribers) alkalmaznak az ilyen problémák kezelésére. Mivel azonban a gyakorlat azt mutatja, hogy képesek megfejteni csak a legegyszerűbb vírusok. Szofisztikáltabb algoritmusok, sajnos, a legtöbb esetben, ezek hatása nem lehet. Azt is meg kell mondani, hogy a változás a vírus kódját kíséri létrehozása másolatot a csökkentett hossz, amely eltérhet az eredeti nagyon fontos.
Hogyan kell kezelni a rezidens fenyegetések
Végül térjünk vissza a elleni küzdelem kérdését rezidens vírusok és védi a számítógépes rendszerek komplexitás. A legegyszerűbb módja annak, hogy védnökséget lehet tekinteni a telepítés egy teljes idejű anti-vírus csomag, ez csak használat legjobb, ha nem szabad szoftver, de legalább shareware (próba) verzióját a fejlesztők, mint a „Doctor Web”, „A Kaspersky Anti-Virus”, az ESET NOD32 és Smart Security programhoz, ha a felhasználó folyamatosan dolgozik az interneten.
Azonban ebben az esetben senki sem immunis az említett veszély nem hatol a számítógéphez. Ha igen, akkor ez a helyzet fordult elő, először használja hordozható szkennerek, és ez jobb a lemezt, közművek Helyreállítólemez. Ezeket fel lehet használni a csomagtartó a program interfész és szkennelés megkezdése előtt a fő operációs rendszer (vírusok létre és tárolhatja a saját példányait a rendszerben, de még a memória).
És ismét, nem ajánlott használni, mint a szoftver SpyHunter, majd később a csomag és a hozzá tartozó alkatrészek, hogy megszabaduljon az avatatlan felhasználó problematikus lenne. És persze, nem csak törölni a fertőzött fájlokat, vagy próbálja formázni a merevlemezt. Jobb hagyni a kezelést szakmai anti-vírus termékek.
következtetés
Továbbra is hozzátenni, hogy a fenti tekinthető csak a fő szempontok kapcsolódó rezidens vírusok és azok elhárításáról. Elvégre, ha megnézzük a számítógépes fenyegetések, hogy úgy mondjam, globális értelemben, minden nap van egy jelentős részük a fejlesztők jogorvoslati egyszerűen nincs ideje, hogy dolgozzon ki új módszereket foglalkozik ilyen csapások.