Virusi rezidenți: ceea ce este și cum să-l distrugeți. Virușii de calculator
Cei mai mulți utilizatori au prezentat cel puțin o dată în viața lor conceptul de viruși de calculator. Este adevărat că nu mulți oameni știu că clasificarea amenințărilor constă, în principiu, în două mari categorii: viruși nerezidenți și rezidenți. Să ne ocupăm de a doua clasă, deoarece reprezentanții ei sunt cei mai periculoși și, uneori, chiar nerentabili, chiar și atunci când discul sau partiția logică este formatat.
conținut
Ce sunt viruși rezidenți?
Deci, cu ce trebuie să se confrunte utilizatorul? Pentru o explicație simplificată a structurii și a principiilor de funcționare a acestor virusuri, merită să ne axăm pe explicația a ceea ce este vorba despre un program rezident.
Se crede că acest tip de programe includ aplicații care rulează constant în modul de monitorizare, fără a afișa în mod explicit acțiunile lor (de exemplu, aceleași scanere antivirus regulate). În ceea ce privește amenințările care pătrund în sistemele informatice, acestea nu numai că atârnă mereu în memoria calculatorului, ci creează propriile lor duplicate. Astfel, copii ale virușilor monitorizează constant sistemul și se deplasează în jurul acestuia, ceea ce face foarte greu să le găsim. Unele amenințări sunt, de asemenea, capabile să-și schimbe propria structură, iar detectarea lor pe baza unor metode general acceptate devine practic imposibilă. Puțin mai târziu, vom examina cum să scăpăm de virusi de acest tip. Între timp, să ne ocupăm de principalele tipuri de amenințări rezidențiale.
Amenințări DOS
Inițial, atunci când sistemele Windows- sau UNIX ca inca nu exista, iar comunicarea utilizatorului cu computerul este la nivelul de instruire, a existat o „sisteme de operare» DOS, suficient de lung pentru a ține pe vârf de popularitate.
Și pentru astfel de sisteme au început să se creeze viruși nerezidenți și rezidenți, acțiunile cărora au vizat mai întâi încălcarea performanțelor sistemului sau ștergerea fișierelor și a dosarelor utilizatorilor.
Principiul de funcționare a unor astfel de amenințări, care, întâmplător, este utilizat pe scară largă până în prezent, este faptul că acestea intercepta apelurile către fișiere, și apoi infecta apelatul. Cu toate acestea, majoritatea amenințărilor cunoscute de astăzi funcționează pe acest tip. Dar aici e virușii pătrund în sistem sau prin crearea unui modul rezident sub forma unui conducător auto care este specificat în fișierul de configurare a sistemului, config.sys, sau prin utilizarea unor funcții speciale pentru urmărirea PĂSTRA întreruperi.
Situația este mai gravă atunci când virușii rezidenți de acest tip utilizează alocarea zonelor de memorie de sistem. Situația este că mai întâi virusul "taie" o bucată de memorie liberă, apoi marchează această zonă ca ocupată și apoi își păstrează propria copie în ea. Ceea ce este cel mai trist, există cazuri în care copii se află în memoria video și în zone rezervate pentru clipboard, în tabelele vectorilor de întrerupere și în spațiile de lucru DOS.
Toate acestea fac copii ale amenințării virusului este atât de tenace încât acestea, spre deosebire de virusurile nerezidente care se execută până la rularea unor programe sau funcții de sistem de operare, poate fi activat din nou, chiar și după repornire. În plus, atunci când accesează un obiect infectat, virusul este capabil să creeze o copie proprie chiar și în memoria RAM. Ca o consecință, un moment computer închis. După cum sa înțeles deja, tratamentul cu virusuri de acest tip trebuie făcut cu ajutorul scanerelor speciale, de preferință nu staționare, dar portabile sau celor care pot fi încărcate de pe discuri optice sau suporturi USB. Dar mai multe despre asta mai târziu.
Boot Amenințări
Virușii de boot penetrează sistemul într-un mod similar. Asta e doar se comportă, ceea ce se numește, delicat primul „mananca“ o bucată de memorie de sistem (de obicei, 1 KB, dar, uneori, această cifră poate ajunge la un maxim de 30 KB), și apoi se prescrie la propriul său cod sub forma unei copii, și apoi începe să solicite o repornire. Acest lucru este plin de consecințe negative, deoarece după repornirea virusului restabilește memoria redusă la dimensiunea originală, iar copia sa este în afara memoriei sistemului.
În plus față de întreruperile de monitorizare, astfel de viruși sunt capabili să prescrie propriile coduri în sectorul de boot (înregistrare MBR). Intercepțiile BIOS și DOS sunt folosite mai rar și virușii sunt descărcați o singură dată, fără a verifica prezența unei copii a acestora.
Viruși sub Windows
Odată cu apariția sistemelor bazate pe Windows, dezvoltarea virusului a atins un nou nivel, din păcate. Astăzi, Windows este orice versiune care este considerată cel mai vulnerabil sistem, în ciuda eforturilor depuse de specialiștii Microsoft în dezvoltarea modulelor de securitate.
Virușii proiectați pentru Windows lucrează pe principii similare cu amenințările DOS, dar există mult mai multe modalități de a penetra calculatorul. Dintre cele mai comune identifica trei principale, în conformitate cu care virusul poate scrie propriul cod în sistem:
- înregistrarea virusului ca aplicație curentă;
- alocarea blocului de memorie și înregistrarea în copia proprie;
- lucrați în sistem sub masca unui driver VxD sau deghizați ca un driver Windows NT.
Fișierele infectate sau zonele de memorie de sistem, în principiu, pot fi vindecate prin metode standard utilizate în scanere antivirus (detectarea prin masca de virus, compararea bazelor de date cu semnături, etc.). Cu toate acestea, dacă sunt folosite programe gratuite gratuite, acestea nu pot detecta virusul și uneori chiar dau un declanșator fals. Prin urmare, raza utilizează utilități portabile, cum ar fi Doctor Web (în special, Dr. Web CureIt!) Sau produse de la Kaspersky Lab. Cu toate acestea, astăzi puteți găsi o mulțime de utilități de acest tip.
Macro virusuri
Înainte de noi este un alt tip de amenințare. Numele provine de la cuvântul "macro", adică, applet-ul sau add-on-ul executabil care este folosit în unele editoare. Nu este surprinzător faptul că virusul pornește când începe programul (Word, Excel etc.), deschide documentul de birou, îl imprimă, apelează elemente de meniu și așa mai departe.
Astfel de amenințări sub formă de macrocomenzi de sistem sunt în memorie pentru întreaga perioadă în care funcționează editorul. Dar, în general, dacă luăm în considerare problema cum să scăpăm de viruși de acest tip, soluția este destul de simplă. În unele cazuri, aceasta ajută chiar și obișnuitele dezactivare programe de completare sau macro-urile în editorul, precum și activarea applet-uri de protecție antivirus, să nu mai vorbim de obicei sistem rapid de pachete antivirus de scanare.
Viruși bazați pe tehnologie stealth
Acum, să ne uităm la virușii de mascare, deoarece ei au primit cu bună știință numele lor de la aeronava invizibilă.
Esența funcționării lor este tocmai faptul că ei pretind a fi o componentă a sistemului, iar definirea lor prin metode obișnuite este uneori destul de complicată. Printre aceste amenințări se numără și virușii macro și amenințările de boot și virusurile DOS. Se crede că pentru Windows, viruși stealth nu sunt încă dezvoltați, deși mulți experți spun că este doar o chestiune de timp.
Tipuri de fișiere
În general, toate virusurile pot fi numit un fișier, deoarece acestea afectează într-un fel sistemul de fișiere și să acționeze pe fișiere, sau infectarea lor cu propriul său cod sau criptare, sau de a face inaccesibile din cauza corupției sau ștergere.
Cele mai frecvente exemple sunt virusurile criptografice moderne (extortioniștii), precum și notorii I Love You. Cu ei fără chei speciale de decriptare, tratamentul virusilor nu este ceva dificil, dar adesea imposibil. Chiar și cei mai importanți dezvoltatori ai software-ului antivirus nu pot să facă un gest neajutorat, deoarece, spre deosebire de sistemele moderne de criptare AES256, tehnologia AES1024 este utilizată aici. Înțelegeți că decodificarea poate dura mai mult de o duzină de ani, pe baza numărului de opțiuni posibile pentru cheie.
Amenințări amenințări polimorfe
În cele din urmă, un alt tip de amenințare, în care se aplică fenomenul de polimorfism. Din ce constă? Faptul că virușii își schimbă în mod constant propriul cod, iar acest lucru se face pe baza așa-numitei taste plutitoare.
Cu alte cuvinte, este imposibil să se definească o amenințare de către mască, deoarece, după cum vedem, se schimbă nu doar structura bazată pe cod, ci și cheia de decriptare. Pentru a rezolva astfel de probleme, se utilizează decodoare polimorfe speciale (decryptoare). Cu toate acestea, după cum arată practica, ei sunt capabili să descifreze doar cele mai simple virusuri. Algoritmi mai complexi, din păcate, în cele mai multe cazuri, efectele lor nu sunt susceptibile. Separat, este necesar să se spună că modificarea codului acestor virusuri însoțește crearea de copii cu o lungime redusă, care pot diferi semnificativ de original.
Cum să facem față amenințărilor rezidenților
În cele din urmă, ne întoarcem la problema de a trata virușii rezidenți și de a proteja sistemele informatice de orice complexitate. Cel mai simplu mod de a patronajul poate fi considerat instalarea unui pachet anti-virus full-time, care este singura utilizare este cel mai bun nu software-ul liber, dar cel puțin shareware (trial) versiunea de la dezvoltatori, cum ar fi „Doctor Web“, „Kaspersky Anti-Virus“, NOD32 ESET și programul de tip Smart Security, dacă utilizatorul lucrează în mod constant cu Internetul.
Cu toate acestea, în acest caz, nimeni nu este imun la faptul că amenințarea nu penetrează calculatorul. În acest caz, mai întâi trebuie să utilizați scanere portabile și să utilizați mai bine utilitarele de disc Rescue Disk. Cu ajutorul acestora, puteți descărca interfața programului și puteți scana înainte de începerea sistemului principal de operare (virușii pot crea și stoca propriile copii în sistem și chiar în memoria RAM).
Și din nou: nu este recomandat să folosiți software-uri precum SpyHunter și atunci va fi dificil să scapați de pachetul propriu-zis și de componentele acestuia însoțite de utilizatorul neinitiat. Și, desigur, nu ștergeți imediat fișierele infectate sau nu încercați să formatați hard disk-ul. Mai bine lăsați tratamentul la produsele profesionale anti-virus.
concluzie
Rămâne să adăugăm că numai aspectele principale referitoare la virusurile rezidente și metodele de combatere a acestora au fost luate în considerare mai sus. La urma urmei, dacă te uiți la amenințările pe calculator, ca să zic așa, în sens global, în fiecare zi există un număr atât de mare de oameni, încât dezvoltatorii de instrumente de securitate nu au timp să vină cu noi metode de combatere a acestor nenorociri.
- Protejăm computerul: la ce se bazează programul antivirus?
- Tot ce știm despre virușii de calculator!
- Un virus al computerului este o problemă pentru mulți utilizatori
- Primul ajutor pentru computer: tratăm virusul "troian"
- Cum să verificați dacă există virusi pe un computer sau să împiedicați o epidemie cibernetică
- MSE antivirus - protecție compactă și fiabilă a computerului
- Cum să verificați computerul pentru viruși: modalități de a
- Deci și cum să verificați pentru fișierele virușilor?
- Medicină împotriva bolii calculatorului - ce este?
- Lista celor mai bune programe antivirus din 2015
- Un dăunător al computerului auto-copiat este ceea ce este și cum să se ocupe de el?
- Programele anti-virus sunt instrumente de calculator pentru detectarea și eliminarea virușilor
- Utilități - scanere pentru viruși de calculator
- Care sunt caracteristicile distinctive ale unui virus de calculator?
- Antivirus pentru unitatea flash sau Cum să protejați mediile amovibile de programele rău…
- Clasificarea virușilor de calculator. Disponibil pentru complex
- Cum să vă curățați computerul de viruși
- Ce este în neregulă cu calculatorul dvs. sau Clasificarea virușilor
- Cum să evitați infectarea unui computer sau să ignori foarte multe tipuri de viruși
- Boot viruși: recunoaștem inamicul în persoană
- Top Scanere anti-virus