Virus residents: què és i com destruir. Els virus informàtics

La majoria dels usuaris almenys una vegada a la vida es van enfrontar amb el concepte de virus informàtics. No obstant això, no molts saben que la classificació a la base d'amenaces consisteix en dues grans categories: els virus no residents i residents. Considerem el segon grau, a causa de que els seus representants són els més perillosos, i de vegades no eliminable encara que es formati el disc o partició.

Què és un virus residents en memòria?

Així que, quin és l'usuari tracte? Per simplificar l'explicació de l'estructura i els principis de funcionament d'aquest tipus de virus per començar és centrar-se en l'explicació del que el programa resident en general.

Es creu que per a aquest tipus de programari inclou aplicacions que s'executen contínuament en la manera de monitorització, de manera explícita, no mostra les seves accions (per exemple, els mateixos escàners de virus regulars). Pel que fa a les amenaces que penetren en el sistema informàtic, que no només pengen de forma permanent en la memòria de l'ordinador, sinó també crear els seus propis dobles. Per tant, còpies del virus i esta monitoritzant constantment el sistema i es mouen en ell, el que fa que sigui difícil trobar ells. Algunes amenaces també poden canviar la seva pròpia estructura, i la seva detecció sobre la base dels mètodes convencionals és pràcticament impossible. Una mica més tard, un cop d'ull a la forma de desfer-se dels virus d'aquest tipus. Mentrestant, se centren en les principals varietats d'amenaces residents.

DOS-amenaça

Al principi, quan encara no existien els sistemes Windows o UNIX, i la comunicació de l'usuari amb l'ordinador està al nivell d'instrucció, hi havia una "sistemes operatius DOS», el temps suficient per mantenir-se al cim de la popularitat.

I és per aquest tipus de sistemes es van establir no residents i residents virus, l'efecte que hi hagi dirigit en primer lloc al mal funcionament del sistema o eliminar arxius i carpetes personalitzades.

El principi de funcionament d'aquest tipus d'amenaces, que, per cert, és àmpliament utilitzat fins ara, és que intercepten les trucades als arxius, i després infecten el destinatari de la trucada. No obstant això, la majoria de les amenaces conegudes d'avui funciona sota aquest tipus. Però aquí hi ha el virus penetren en el sistema o mitjançant la creació d'un mòdul resident en la forma d'un conductor que s'especifica a l'arxiu de configuració del sistema, el config.sys, o mitjançant l'ús de funcions especials per al seguiment MANTENIR interrupcions.

La situació és pitjor en el cas quan un virus residents en memòria d'aquest tipus s'utilitza per a l'assignació d'una àrea de la memòria del sistema. La situació és tal que el primer virus "curta" un tros de memòria lliure, a continuació, marca aquesta àrea ocupada, a continuació, manté la seva pròpia còpia de la mateixa. El que és més trist, hi ha casos en què les còpies són a la memòria de vídeo, i en les zones reservades per al portapapers, i la taula de vectors d'interrupció, i les àrees operatius DOS.

Tot això fa que les còpies de l'amenaça de virus és tan tenaç que, a diferència dels virus no residents que s'executen fins que llisqui algun programa o operar les funcions del sistema, es poden activar de nou fins i tot després de reiniciar. A més, quan s'accedeix a l'objecte infectat el virus és capaç de crear la seva pròpia còpia, fins i tot en la memòria. Com a resultat - instantània parada del sistema. Com és evident, el tractament del virus d'aquest tipus s'ha de fer amb l'ajuda d'escàners especials, i no és desitjable estacionària i portàtil o aquells que són capaços d'arrencar des de la unitat òptica o unitat USB. Però més sobre això més endavant.

amenaça d'arrencada

Els virus d'arrencada penetren en el sistema per un mètode similar. Això és només es comporten, el que es diu, amb delicadesa, en primer lloc "menjar" un tros de la memòria del sistema (normalment d'1 KB, però de vegades aquesta xifra pot arribar a un màxim de 30 KB), i després es prescrigui al seu propi codi en la forma d'una còpia, i després començar a requerir un reinici. És carregat de conseqüències negatives, ja que després de reiniciar el virus restaura la memòria reduïda a la mida original i una còpia està fora de la memòria del sistema.

A més de les interrupcions de seguiment d'aquests virus són capaços de prescriure el seu propi codi en el sector d'arrencada (MBR registre). Menys freqüentment utilitzat intercepta BIOS i el DOS, i dels propis virus es carreguen un cop, sense comprovar si les seves pròpies còpies.

Els virus de Windows

Amb l'adveniment del desenvolupament de virus de Windows-sistemes han arribat a un nou nivell, per desgràcia. Avui dia és qualsevol versió de Windows que es considera el sistema més vulnerable, tot i els esforços realitzats per experts de Microsoft en el desenvolupament dels mòduls de seguretat.

Els virus dissenyats en Windows, treballa al principi similar al DOS mortal, única manera de penetrar en l'equip hi ha molt més. Els més comuns són els tres principals, que en el virus pot prescriure el seu propi sistema de codi:

• El registre de virus com les aplicacions actualment en execució;
• l'assignació d'un bloc de memòria i escriure en ell és posseir còpies;
• treballar en el sistema sota l'aparença o els controladors VxD disfressa sota el de Windows NT.

Els arxius infectats o àrea de la memòria del sistema, en principi, es poden curar per mètodes convencionals, que s'utilitzen en els escàners antivirus (màscara de detecció de virus, la comparació amb bases de dades de signatures i així successivament. D.). No obstant això, si s'utilitzen els programes lliures sense pretensions, no poden identificar el virus, i de vegades fins i tot donar un fals positiu. Per tant, el feix d'utilitzar eines portàtils com "Doctor Web" (en particular, el Dr. web CureIt!) O productes "Kaspersky Lab". No obstant això, avui dia es pot trobar una gran quantitat d'eines d'aquest tipus.

Els virus de macro

Abans de nosaltres és una altra varietat d'amenaces. El nom prové de la paraula "macro", és a dir, un applet executable, o el complement utilitzat en alguns editors. No és estrany que el llançament del virus es produeix en l'inici del programa (Word, Excel, i així successivament. D.), l'obertura d'un document d'Office, imprimir-lo, trucar als elements de menú, i així successivament. N.

Tals amenaces en forma de macros del sistema s'emmagatzemen en la memòria per a tot l'editor de temps d'execució. Però, en general, si tenim en compte la qüestió de com desfer-se dels virus d'aquest tipus, la solució és bastant simple. En alguns casos, fins i tot ajuda als habituals complements Deshabilitar o macros en l'editor, així com l'activació dels subprogrames de protecció antivirus, per no esmentar el sistema de paquets d'antivirus habitual anàlisi ràpida.

Els virus sobre la base de la tecnologia "stealth"

Ara miri el virus disfressats, no és d'estranyar que van aconseguir el seu nom d'un avió furtiu.

L'essència del seu funcionament consisteix precisament en el fet que es presenten com un component del sistema i determinar els seus mètodes convencionals de vegades pot ser bastant dur. Entre aquestes amenaces es poden trobar i els virus de macro, i arrencar l'amenaça, i DOS-virus. Es creu que els virus de sigil de Windows encara no s'han desenvolupat, encara que molts experts sostenen que és només qüestió de temps.

varietats d'arxius

En general, tots els virus es poden anomenar un arxiu, ja que d'alguna manera afecten el sistema d'arxius i actuar sobre els arxius, o infectar amb el seu propi codi, o xifrar, o fent inaccessibles a causa de la corrupció o eliminació.

L'exemple més simple és que els codificadors moderns virus (sangoneres), i infame t'estimo. Produeixen antivirus no és una cosa que és difícil sense tecles especials rasshifrovochnyh, i sovint és impossible de fer. Fins i tot els principals desenvolupadors de programari antivirus no poden fer res encongiment d'espatlles, ja que, a diferència d'avui sistema d'encriptació AES256, a continuació, utilitza la tecnologia AES1024. Vostè entén que en la transcripció pot trigar més d'una dècada, basat en el nombre de possibles combinacions de tecles.

amenaces polimòrfiques

Finalment, una altra varietat d'amenaces, que utilitzen el fenomen de polimorfisme. Què és? El fet que els virus estan canviant constantment el seu propi codi, i això es fa sobre la base de la clau anomenada flotant.

En altres paraules, una màscara per identificar l'amenaça no és possible, ja que, com s'ha vist, varia no només pel seu model basat en el codi, sinó també clau per a la descodificació. descodificadors especials polimòrfics (transcriptors) s'utilitzen per fer front a aquests problemes. No obstant això, com mostra la pràctica, són capaços de desxifrar només els virus més simples. algoritmes més sofisticats, per desgràcia, en la majoria dels casos, el seu impacte pot no ser-ho. També cal dir que el canvi del codi del virus s'acompanya de la creació de còpies de la seva longitud reduïda, que pot diferir de l'original és molt important.

Com fer front a les amenaces residents

Finalment, ens tornem a la qüestió de la lluita contra el virus residents i protegir els sistemes informàtics de qualsevol complexitat. La forma més fàcil de patrocini es pot considerar la instal·lació d'un paquet antivirus a temps complet, això és només per a ús no és la millor programari lliure, però almenys una versió de prova (assaig) versió dels desenvolupadors com "Doctor Web", "Kaspersky Anti-Virus", ESET NOD32 i el programa Tipus de seguretat intel·ligent, si l'usuari està treballant constantment amb Internet.

No obstant això, en aquest cas, ningú és immune a aquesta amenaça no penetra a l'ordinador. Si és així, s'ha produït aquesta situació, primer ha d'utilitzar escàners portàtils, i és millor fer servir les utilitats de disc disc de rescat. Es poden utilitzar per arrencar la interfície del programa i l'escaneig abans de l'inici del sistema operatiu principal (virus poden crear i emmagatzemar les seves pròpies còpies en el sistema, i fins i tot en memòria).

I de nou, no es recomana l'ús de programari com Spy Hunter, i més tard des del paquet i els seus components associats per desfer-se dels usuaris que no seria problemàtic. I, per descomptat, no es limiti a eliminar els arxius infectats o tractar de formatar el disc dur. Millor deixar els productes antivirus professional de tractament.

conclusió

Queda per afegir que les úniques els principals aspectes anteriors considerades relacionades amb els virus i els mètodes de residents per combatre-les. Després de tot, si ens fixem en les amenaces informàtiques, per així dir-ho, en un sentit global, cada dia hi ha un gran nombre d'ells, els remeis desenvolupadors simplement no tenen temps per arribar a nous mètodes de fer front a l'adversitat.