Rezidentný vírusy: čo to je a ako zničiť. počítačové vírusy

Väčšina užívateľov aspoň raz vo svojom živote stretávajú s predstavou o počítačových vírusov. Avšak, nie je veľa vedieť, že zaradenie do základu hrozieb sa skladá z dvoch veľkých kategórií: non-rezidentmi a rezidentných vírusov. Uvažujme druhý stupeň, pretože jej zástupcovia sú najnebezpečnejšie, a niekedy undeletable dokonca formátovania alebo diskového oddielu.

Čo je to pamäť rezidentný vírusy?

Takže, čo je používateľ ide? Pre zjednodušenie vysvetlenie štruktúry a princípy fungovania takých vírusov, kto je zamerať sa na vysvetlenie, čo rezidentný programu všeobecne.

Predpokladá sa, že pre tento typ softvéru zahŕňa aplikácie, ktoré bežia nepretržite v režime monitorovania, explicitne nezobrazuje vaše akcie (napríklad rovnaké pravidelné antivírusové programy). Pokiaľ ide o hrozby, ktoré prenikajú do počítačového systému, nemajú jednoducho visieť natrvalo v pamäti počítača, ale tiež vytvárať svoje vlastné zdvojnásobí. Teda kópie vírusu a neustále monitorujú systému a presunúť na neho, čo sťažuje nájsť. Niektoré hrozby môžu tiež zmeniť svoju vlastnú štruktúru a ich detekcia na základe obvyklých metód je prakticky nemožné. O niečo neskôr, pohľad na to, ako sa zbaviť vírusov tohto typu. Dovtedy sa zameriavajú na hlavných druhov hrozieb rezidentov.

DOS-hrozba

Spočiatku, keď sa systémy windows alebo UNIX ako doteraz neexistoval, a užívateľ komunikáciu s počítačom je na úrovni inštrukčného, došlo k "operačné systémy» DOS, dosť dlho držať na vrchole popularity.

A to je pre takéto systémy boli zriadené nerezidentov a rezidentný vírusy, ktorého účinok bol najprv smerujúce k zlyhaniu systému alebo odstránenie vlastných súborov a priečinkov.

Princíp fungovania týchto hrozieb, ktorý, mimochodom, je široko doteraz používanými, je to, že zachytí volania na súbory, a potom infikovať volaného. Avšak, väčšina známych hrozieb dneška funguje na základe tohto typu. Ale tu je to vírusy prenikajú do systému, alebo vytvorením rezidentné modul v podobe vodiča, ktorý je uvedený v konfiguračnom súbore systéme, Config.sys, alebo pomocou špeciálnych funkcií pre sledovanie KEEP prerušenia.

Situácia je ešte horšia v prípade, keď rezidentný vírusy tohto typu sa používa pre prideľovanie priestoru systémovej pamäte. Situácia je taká, že prvý vírus "odreže" kus voľnej pamäte, označí túto oblasť ako obsadený, potom udržiava svoju vlastnú kópiu. Čo je najviac smutné, existujú prípady, keď kópie sú v grafickej pamäte, a v oblastiach vyhradených pre schránky a vektor prerušenia tabuľky a systémové oblasti DOS.

To všetko robí kópie vírusové hrozby je tak vytrvalý, že na rozdiel od vírusov, non-rezidentov, ktoré bežia až do spustenia programu alebo prevádzkové funkcie systému, môžu byť znovu aktivovaná aj po reštarte. Navyše pri pokuse o prístup infikovaný objekt je vírus schopný vytvoriť svoj vlastný kópiu, a to aj v pamäti. V dôsledku toho - okamžité zastavenie počítača. Ako je zrejmé, liečba vírusov tohto typu musí byť vykonané pomocou špeciálnych skenerov, a je žiaduce, nie je stacionárne a mobilné alebo tých, ktorí sú schopní bootovať z optickej mechaniky alebo USB disk. Ale o tom neskôr.

boot hrozba

Uvádzacia vírusy preniknúť do systému podobným spôsobom. To je jednoducho správajú, čo sa nazýva, jemne, ako prvý "jesť" kus systémovej pamäte (zvyčajne 1 kB, ale niekedy sa toto číslo môže dosiahnuť maximálne 30 kB), a potom sa predpisovania vlastného kódu vo forme kópie, a potom sa začínajú vyžadovať reštart počítača. To so sebou nesie negatívne dôsledky, pretože po reštartovaní vírus obnovuje zníženú pamäť do pôvodnej veľkosti, a kópia je mimo systémovej pamäte.

Okrem sledovania prerušenia také vírusy sú schopné stanoviť svoj vlastný kód do zavádzacieho sektoru (MBR záznamu). Menej často používané BIOS zachytí a DOS a samotné vírusy sú načítané naraz, bez kontroly vlastných kópií.

Vírusy v systéme Windows

S príchodom vývoja vírusu pre Windows systému sa dostali na novú úroveň, bohužiaľ. Dnes je akákoľvek verzia Windows je považovaná za najzraniteľnejšie systém, a to napriek snahám odborníkov Microsoftu pri vývoji bezpečnostných modulov.

Vírusy určené pre Windows, funguje na princípe podobný DOS-hroziť, jediný spôsob, ako preniknúť do počítača existuje oveľa viac. Najbežnejšie sú tri hlavné, ktoré vírus môže predpísať svoj vlastný kód systému:

• Registrácia vírusu ako aktuálne spustených aplikácií;
• pridelenie bloku pamäte a písať svoju vlastnú kópií;
• pracovať v systéme pod rúškom alebo zakrytie ovládače VxD pod ovládačom Windows NT.

Infikované súbory alebo systém pamäťová oblasť, v zásade môžu byť liečené konvenčnými spôsobmi, ktoré sa používajú v anti-vírusov (vírus detekčný masky, v porovnaní s databázou podpisov pod. D.). Avšak, ak sa používa nenáročný voľných programov, ktoré nemožno identifikovať vírus, a niekedy dokonca dať falošne pozitívne. Preto sa lúč pomocou prenosné nástroje ako "Doctor Web" (najmä Dr. Web CureIt!) Alebo produkty "Kaspersky Lab". Avšak, dnes si môžete nájsť veľa nástrojov tohto typu.

makro vírusy

Pred nami je ďalší rad hrozieb. Meno pochádza zo slova "makro", teda spustiteľný applet alebo doplnku používa v niektorých editoroch. Niet teda divu, že začatie vírus sa vyskytuje na začiatku programu (Word, Excel, a tak ďalej. D.), Otvorenie dokumentu Office, vytlačiť, zavolajte položky menu, a tak ďalej. N.

Takéto hrozby v podobe systému makrá sú uložené v pamäti po celý čas behu času editorom. Ale všeobecne, ak vezmeme do úvahy otázku, ako sa zbaviť vírusov tohto typu riešenia je pomerne jednoduché. V niektorých prípadoch, to pomáha aj obvyklé vypnúť doplnky alebo makrá v editore, rovnako ako aktivácia appletov antivírusovej ochrany, nehovoriac o obvyklý rýchly balíčkov systém skenovania antivírusový.

Vírusy na základe "stealth" technológie

Teraz sa pozrite na maskovaných vírusov, nie je divu, že sa dostali svoje meno z stealth lietadla.

Podstatou ich fungovania spočíva práve v tom, že vystupujú ako súčasť systému a určiť ich konvenčné metódy môže byť niekedy dosť ťažké. Medzi tieto hrozby možno nájsť a makro vírusy, a zaviesť hrozbu, a DOS vírusy. Predpokladá sa, že pre Windows stealth vírusov ešte neboli vyvinuté, hoci mnohí experti tvrdia, že je len otázkou času.

odrody súborov

Všeobecne platí, že všetky vírusy môžu byť s názvom súboru, pretože sa nejakým spôsobom ovplyvňujú súborový systém a pôsobí na súbory, alebo infikovať ich s vlastným kódom, alebo šifrovaním, alebo pri neprístupné kvôli korupcii alebo vymazanie.

Najjednoduchším príkladom je moderný kódery vírusy (pijavice), a neslávny Milujem ťa. Oni produkujú anti-virus nie je niečo, čo je ťažké bez špeciálnych rasshifrovochnyh kľúčov a často je nemožné robiť. Dokonca aj predné vývojári anti-virus softvér môže robiť nič ramenami, pretože na rozdiel od dnešnej šifrovanie AES256 systému, potom používa AES1024 technológie. Chápete, že v prepise môže trvať dlhšie ako desať rokov, na základe počtu možných kombinácií klávesov.

polymorfné hrozby

Napokon, ďalší rad hrozieb, ktoré využívajú fenomén polymorfizmus. Čo je to? Skutočnosť, že vírusy sa neustále mení svoj vlastný kód, a to sa vykonáva na základe takzvaného plávajúceho kľúčom.

Inými slovami, maska hrozbu identifikovať nie je možné, pretože, ako je vidieť, sa líšia nielen svojím vzorom na základe kódu, ale aj kľúč k dekódovanie. polymorfné špeciálne dekodéry (transcribers) sa používajú na riešenie týchto problémov. Avšak, ako prax ukazuje, že sú schopní dešifrovať iba najjednoduchšie vírusy. Sofistikovanejšie algoritmy, bohužiaľ, vo väčšine prípadov, ich vplyv nemožno. Mali by sme tiež povedať, že zmena kódu vírusu je sprevádzané vytvorením kópiou ich menšej dĺžke, ktoré sa môžu líšiť od originálu je veľmi dôležité.

Ako sa vysporiadať s hrozbami rezidentmi

A konečne, obraciame sa k problematike boja proti vírusy rezidentné a chráni počítačové systémy ľubovoľnej zložitosti. Najjednoduchší spôsob, ako sponzorstvo môže byť považovaný za inštaláciu balíčka anti-virus na plný úväzok, to je len použitie nie je najlepší slobodný softvér, ale aspoň shareware (trial) verzia od vývojárov, ako je "Doctor Web", "Kaspersky Anti-Virus", ESET NOD32 a type programu Smart Security, ak je používateľ neustále pracujú s Internetom.

Avšak, v tomto prípade nikto nie je imúnny voči že hrozba nepreniká do počítača. Ak áno, táto situácia nastala, je potrebné najprv použiť prenosné skenery, a to je lepšie použiť diskové nástroje Rescue Disk. Môžu byť použité na spustenie rozhrania aplikácie a skenovanie pred začatím hlavného operačného systému (vírusy môžu vytvárať a ukladať svoje vlastné kópie v systéme, a to aj v pamäti).

A opäť, to nie je odporúčané používať softvér, ako je SpyHunter a neskôr z balíka a jeho pridružených komponentov zbaviť nezasvätených užívateľa by bolo problematické. A, samozrejme, nie len zmazať infikované súbory alebo pri pokuse o formátovanie pevného disku. Lepšie nechať liečebných profesionálne antivírusové produkty.

záver

Zostáva dodať, že vyššie uvedené považovaný iba hlavné aspekty týkajúce sa rezidentných vírusov a metód boja proti nim. Koniec koncov, keď sa pozrieme na počítačových hrozieb, tak povediac, v celosvetovom meradle, každý deň tam je veľký počet z nich, vývojári prostriedky jednoducho nemajú čas prísť s novými spôsobmi nakladania s takou nepriazňou osudu.