Resident virusa: šta je to i kako da se uništi. kompjuterskih virusa

Najviše korisnika na forumu barem jednom u životu suočeni sa konceptom virusima. Međutim, ne mnogi znaju da je klasifikacija u osnovi prijetnji se sastoji od dvije velike kategorije: nerezidenta i rezidenta virusa. Razmotrimo drugi razred, jer to njeni predstavnici su najopasniji, a ponekad neizbrisiv čak i formatiranje diska ili particije.

Ono što je memorija-stanovnik viruse?

Dakle, u čemu je stvar korisnik? Da bi se pojednostavio objašnjenje strukture i principa rada tih virusa za početak je da se fokusira na objašnjavanje što je stanovnik program u cjelini.

Smatra se da je za ovu vrstu softvera uključuje aplikacije koje rade kontinuirano u modu praćenje, eksplicitno ne pokazuje svojim postupcima (na primjer, isti redovne virus skeneri). Što se tiče prijetnji koje prodiru u kompjuterski sistem, oni ne samo da vise stalno u memoriji računara, ali i kreiraju svoje dublu. Dakle, kopija virusa i stalno praćenje sistema i dalje je, zbog čega ih je teško pronaći. Neke prijetnje mogu promijeniti svoju strukturu, a njihovo otkrivanje na osnovu konvencionalnih metoda je gotovo nemoguće. Nešto kasnije, pogledajte kako da riješi virusa ovog tipa. U međuvremenu, fokusirajte se na glavnom sorte rezidentnih prijetnji.

DOS-prijetnja

U početku, kada još nije postojala Windows- ili UNIX-like sustavima, a korisnik komunikaciju sa računarom je na nivou instrukcija, došlo je do "OS» DOS-a, dovoljno dugo da se održi na vrhuncu popularnosti.

I to je za takve sisteme su postavljene nerezidenta i rezidenta virusa, od kojih je efekt je prvi put usmjerena na kvar sistema ili ukloniti prilagođene datoteke i mape.

Princip rada takvih prijetnji, koja je, uzgred budi rečeno, je naširoko koristi za sada, je da oni presresti pozive datoteke, a zatim inficiraju callee. Međutim, većina poznatih prijetnji danas radi u okviru ovog tipa. Ali evo virusi prodiru u sistem ili stvaranjem rezident modul u obliku vozača koji je naveden u sistemskoj konfiguraciji datoteke, Config.sys, ili kroz upotrebu posebne funkcije za praćenje KEEP prekida.

Situacija je lošija u slučaju kada je memorija-stanovnik virusa ovog tipa se koristi za dodjelu područja sistemske memorije. Situacija je takva da je prvi virus "otkine" komad slobodne memorije, a zatim označava ovo područje kao okupirana, a zatim vodi svoju kopiju. Ono što je najtužnije, postoje slučajevi u kojima su kopije u video memorije, a na područjima rezervisana za ostavu, a prekid vektor stol, i DOS operativni područja.

Sve ovo čini kopija virusa prijetnje je toliko uporan da su, za razliku od nerezidentne virusa koji traje do radi neki program ili operativni sistem funkcioniše, može se ponovo aktivira čak i nakon ponovnog pokretanja. Osim toga, prilikom pristupa zaraženog objekta virus je u stanju da stvori svoj primjerak, čak u memoriji. Kao rezultat toga - instant zastoja računara. Kao što je jasno, tretman virusa ove vrste moraju se provoditi uz pomoć posebnih skenera, a poželjno je nije stacionarna, i prijenosni ili oni koji su u mogućnosti da se pokrene sa optički pogon ili USB diska. Ali više o tome kasnije.

boot prijetnja

Boot virusi prodiru u sistem sličnom metodom. To je samo oni ponašaju, ono što se naziva, delikatno, prvi "jede" komad sistemske memorije (obično 1 KB, ali ponekad ta brojka može dostići maksimalno 30 KB), a zatim propisivanje vlastitim kod u obliku kopija, a zatim počinje da zahtijeva ponovno pokretanje. To je puna negativne posljedice, jer je nakon ponovno pokretanje virusa vraća smanjio memoriju na originalnu veličinu, a kopiju je izvan sistemske memorije.

Osim praćenja prekide, kao što su virusi u stanju propisati vlastite kod u boot sektoru (MBR zapis). Manje često koristi BIOS presreće i DOS-a, i sami virusi se učitavaju jednom, bez provjere za svoje kopije.

Virusi u Windows

Pojavom razvoj virusa Windows-sistemi su dostigla novi nivo, nažalost. Danas je bilo koju verziju Windowsa smatra najugroženijim sistema, uprkos naporima Microsoft stručnjaka u razvoju sigurnosnih modula.

Virusi dizajniran na Windows, radi na principu sličan DOS-prijeteći, jedini način da se prodre u kompjuter ima mnogo više. Najčešći su tri glavna, što virus može propisati svoj sistem kod:

• Registracija virusa kao pokrenutih aplikacija;
• raspodjelu bloka memorije i pisati vlastitim kopije;
• rade u sistemu pod krinkom ili prikrivanje VxD vozači pod Windows NT vozača.

Zaražene datoteke ili sistemske memorije području, u principu, može izliječiti konvencionalnim metodama, koje se koriste u anti-virus skeneri (virus masku otkrivanje, poređenje sa bazama podataka potpisa i tako dalje. D.). Međutim, ako se koristi nepretenciozna besplatni programi, oni ne mogu identificirati virus, a ponekad čak i dati lažno pozitivan. Stoga, zrak koristiti prijenosni alate kao što su "Doctor Web" (posebno, Dr. Web CureIt!) Ili proizvoda "Kaspersky Lab". Međutim, danas možete pronaći mnogo alata ovog tipa.

makro virusi

Pred nama je još jedna razne prijetnje. Ime dolazi od riječi "makro", odnosno izvršne aplet ili dodatak koji se koriste u nekim urednika. Nije ni čudo da je lansiranje virusa javlja se na početku programa (Word, Excel, i tako dalje. D.), otvaranje Office dokumenata, odštampati ga, zovite stavke izbornika, i tako dalje. N.

Takve prijetnje u obliku sistema makroa se čuvaju u memoriji za ceo urednik trčanje vremena. Ali generalno, ako uzmemo u obzir pitanje kako riješi virusa ovog tipa, rješenje je vrlo jednostavno. U nekim slučajevima, pomaže čak i uobičajene Disable Add-ons ili makroe u editoru, kao i aktiviranje apleta antivirusne zaštite, da ne govorimo o uobičajenim brzim paketa sistema antivirusnog skeniranja.

Virusi na osnovu "stealth" tehnologije

Pogledajmo sada na prerušene virusa, nije ni čudo da su dobili svoje ime od stealth avion.

Suština njihovog funkcionisanja sastoji se upravo u činjenici da oni sami predstavljaju kao komponenta sistema i utvrditi njihove konvencionalne metode ponekad može biti dovoljno teško. Među ove prijetnje mogu se naći i makro virusa i pokrenuti prijetnju, i DOS-virusa. Smatra se da je za Windows stealth virusa još uvijek nisu razvijeni, iako mnogi stručnjaci tvrde da je to samo pitanje vremena.

sorte datoteku

U principu, svi virusi može nazvati datoteku, jer su na neki način utjecati na sistem datoteka i djelovati na datoteke, ili inficiraju ih sa sopstvenim kod, ili enkripciju, ili što nepristupačan zbog korupcije ili brisanje.

Najjednostavniji primjer je modernog koderi virusa (pijavica), i zloglasni I Love You. Oni proizvode anti-virus nije nešto što je teško bez posebne tipke rasshifrovochnyh, a često je to nemoguće učiniti. Čak je i vodeći programeri anti-virus softver može učiniti ništa slegnuti ramenima, jer, za razliku od danas sistem AES256 enkripcije, onda se koristi AES1024 tehnologije. Jasno vam je da u transkriptu može trajati više od deset godina, na osnovu broja mogućih kombinacija tastera.

polimorfne prijetnje

Na kraju, još jedan razne prijetnje, koje koriste fenomen polimorfizma. Šta je to? Činjenica da virusi se stalno mijenjaju svoj kod, a to se radi na temelju tzv plutajući ključ.

Drugim riječima, masku za identifikaciju prijetnja nije moguće, jer je, kao što se vidi, varira ne samo po obrascu na osnovu koda, ali i ključ za dekodiranje. polimorfne posebne dekoderi (prepisivači) koriste se za rješavanje takvih problema. Međutim, kako praksa pokazuje, oni su u stanju dešifrirati samo najjednostavnije virusa. Više sofisticirane algoritme, nažalost, u većini slučajeva, njihov utjecaj ne može biti. Takođe, treba reći da je promjena virusa kod prati stvaranje kopija svojih smanjenje dužine, koje se mogu razlikovati od originala je vrlo važno.

Kako se nositi sa rezident prijetnji

Konačno, okrećemo se pitanje borbe protiv rezidentnih virusa i zaštiti kompjuterske sisteme bilo koje složenosti. Najlakši način da se pokroviteljstvo može se smatrati ugradnju punim radnim vremenom anti-virus paket, to je samo upotreba je najbolje nije slobodan softver, ali barem shareware (suđenje) verzija od developera kao što su "Doktor Web", "Kaspersky Anti-Virus", ESET NOD32 ili programa, kao što su Smart Security, ako korisnik je konstantno radi sa interneta.

Međutim, u ovom slučaju, niko nije imun na te prijetnje ne prodire na računar. Ako je tako, je došlo do ove situacije, prvo treba koristiti prijenosni skeneri, i to je bolje koristiti disk komunalije Rescue Disk. Oni se mogu koristiti za pokretanje programa sučelje i skeniranje prije početka glavnog operativnog sistema (virusi mogu stvoriti i pohraniti vlastite kopije u sistemu, pa čak i in-memory).

I opet, to se ne preporučuje koristiti softver poput SpyHunter, a kasnije iz paketa i njegovih povezanih komponenti riješi neupućene korisnik će biti problematično. I, naravno, ne samo izbrisati zaražene datoteke ili pokušati formatirati tvrdi disk. Bolje da napusti tretman profesionalnog anti-virus proizvoda.

zaključak

Ostaje da dodam da je gore u obzir samo glavne aspekte koji se odnose na prebivalište virusa i metode bore se protiv njih. Na kraju krajeva, ako pogledamo kompjuter prijetnje, da tako kažem, u globalnom smislu, svaki dan postoji veliki broj njih, programeri pravni lijekovi jednostavno nemaju vremena da dođu do nove metode koje se bave takvim nevoljama.