Resident virus: hvad er det og hvordan at ødelægge. computervirus

De fleste brugere mindst én gang i sit liv konfronteret med begrebet computervirus. ikke mange kender dog, at klassificeringen i grundlaget for trusler består af to store kategorier: ikke-hjemmehørende og hjemmehørende vira. Lad os betragte den anden klasse, fordi at dets repræsentanter er de farligste, og nogle gange undeletable selv ved at formatere disken eller partitionen.

Hvad er en hukommelse hjemmehørende virus?

Så, hvad er det for noget bruger? For at forenkle forklaringen af strukturen og principperne for driften af sådanne vira til at starte er at fokusere på at forklare, hvad beboeren programmet generelt.

Det menes, at for denne type software omfatter programmer, der kører konstant i monitoreringsfunktion udtrykkeligt ikke vise dine handlinger (f.eks de samme regelmæssige virusscannere). Som for de trusler, der trænger ind i computersystemet, de ikke bare hænge permanent i hukommelsen på computeren, men også skabe deres egne double. Således er kopier af virus og konstant overvågning af systemet og flytte på det, hvilket gør det vanskeligt at finde dem. Nogle trusler kan også ændre sin egen struktur, og deres opdagelse på grundlag af konventionelle metoder er næsten umuligt. Lidt senere, et kig på, hvordan man kan slippe af vira af denne type. I mellemtiden fokusere på de vigtigste sorter af hjemmehørende trusler.

DOS-trussel

I første omgang, når de Windows- eller UNIX-lignende systemer stadig ikke eksisterede, og brugeren kommunikation med computeren er på instruktion niveau, der var en "styresystemer» DOS, længe nok til at holde på toppen af popularitet.

Og det er for sådanne systemer blev oprettet udenlandske og hjemmehørende virus, hvis virkning først blev rettet mod funktionsfejl i systemet eller fjerne brugerdefinerede filer og mapper.

Princippet om driften af sådanne trusler, som i øvrigt er meget udbredt indtil videre, er, at de aflytte opkald til filer og derefter inficere kalderlisten. Men de fleste af de kendte trusler i dag arbejder under denne type. Men her er de vira trænge ind i systemet eller ved at oprette en beboer modul i form af en chauffør, der er angivet i systemet konfigurationsfil, Config.sys, eller gennem brug af specielle funktioner til sporing HOLD interrupts.

Situationen er værre i tilfælde, hvor en memory-resident vira af denne type bruges for tildeling af et område med systemhukommelse. Situationen er sådan, at den første virus "skærer" et stykke af ledig hukommelse, så markerer dette område som besat, så holder sin egen kopi af det. Hvad er mest ked af det, der er tilfælde, hvor kopierne er i video hukommelse, og på de områder, der er forbeholdt klippebordet, og interrupt vektor tabellen, og DOS opererer områder.

Alt dette gør kopier af virus trussel er så ihærdige, at de, i modsætning til de ikke-hjemmehørende virus, der løber indtil køre nogle program eller operativsystem funktioner kan aktiveres igen, selv efter genstart. Hertil kommer, ved adgang til inficerede objekt virussen er i stand til at oprette din egen kopi, selv i hukommelsen. Som et resultat - øjeblikkelig standse computeren. Som det fremgår, skal behandlingen af vira af denne type udføres med hjælp af særlige scannere, og det er ønskeligt ikke stationær, og bærbare eller dem, der er i stand til at starte op fra det optiske drev eller USB-drev. Men mere om det senere.

boot trussel

Bootvirus trænge ind i systemet ved en lignende metode. Det er bare de opfører sig, hvad der kaldes, fint, først "spise" et stykke af systemhukommelse (typisk 1 KB, men nogle gange dette tal kan beløbe sig til højst 30 KB), og derefter ordination til sin egen kode i form af en kopi, og derefter begynder at kræve en genstart. Det er fyldt med negative konsekvenser, fordi efter genstart virus genskaber den reducerede hukommelse til sin oprindelige størrelse, og en kopi er uden for systemets hukommelse.

Ud over at spore afbrydelser sådanne vira er i stand til at ordinere deres egen kode i bagagerummet sektor (MBR record). Mindre hyppigt anvendte BIOS opfanger og DOS, og de virus, selv er indlæst en gang, uden at kontrollere for deres egne kopier.

Vira i Windows

Med fremkomsten af virus udvikling af Windows-systemer har nået et nyt niveau, desværre. I dag er det en hvilken som helst version af Windows betragtes som den mest sårbart system, på trods af den indsats, som Microsofts eksperter i udviklingen af sikkerhedsmoduler.

Vira designet på Windows, fungerer efter princippet svarer til den DOS-truende, eneste måde at trænge ind i computeren der er meget mere. De mest almindelige er tre vigtigste, som i virussen kan ordinere sit eget kodesystem:

• Registrering af virus som de aktuelt kørende programmer;
• tildelingen af en blok af hukommelse og skrive til sine egne eksemplarer;
• arbejde i systemet under dække eller tilsløring VXD drivere under Windows NT-driver.

Inficerede filer eller systemhukommelse område, i princippet kan hærdes ved konventionelle metoder, som anvendes i de antivirusscannere (virusdetektering maske, sammenligning med databaser af signaturer og så videre. D.). Men hvis de bruges uprætentiøse gratis programmer, kan de ikke identificere virus, og nogle gange endda give en falsk positiv. Derfor strålen bruge bærbare værktøjer som "Doctor Web" (især Dr. Web CureIt!) Eller produkter "Kaspersky Lab". Men i dag kan du finde en masse værktøjer af denne type.

makrovirus

Foran os er en anden sort af trusler. Navnet kommer fra ordet "makro", det vil sige en eksekverbar applet, eller tilføjelsesprogrammet bruges i nogle redaktører. Det er ikke underligt, at lanceringen af virus sker i starten af programmet (Word, Excel, og så videre. D.), Åbningen af et kontor dokument, udskrive det, så ring menupunkterne, og så videre. N.

Sådanne trusler i form af systemets makroer gemmes i hukommelsen for hele køretid redaktør. Men generelt, hvis vi overveje spørgsmålet om, hvordan man kan slippe af med de vira af denne type, er løsningen ganske enkel. I nogle tilfælde hjælper det endda de sædvanlige deaktiver tilføjelsesprogrammer eller makroer i editoren, samt aktivering af applets beskyttelse antivirus, for ikke at nævne den sædvanlige hurtig scanning antivirus pakker systemet.

Vira på grundlag af "stealth" -teknologi

Nu ser på de skjulte vira, er det ikke underligt, at de fik deres navn fra et stealth-fly.

Essensen af deres funktion består netop i, at de præsenterer sig selv som et system komponent og bestemme deres konventionelle metoder kan nogle gange være svært nok. Blandt disse trusler kan findes og makrovirus, og start trussel, og DOS-virus. Det menes, at for Windows stealth virus endnu ikke er udviklet, selv om mange eksperter hævder, at det kun er et spørgsmål om tid.

fil sorter

Generelt kan alle vira kaldes en fil, fordi de på en måde påvirke filsystemet og handle på filer eller inficere dem med sin egen kode, eller kryptering, eller gør utilgængelige på grund af korruption eller sletning.

Den enkleste eksempel er de moderne kodere virus (igler) og berygtede Jeg elsker dig. De producerer anti-virus er ikke noget, der er vanskeligt uden særlige rasshifrovochnyh nøgler, og det er ofte umuligt at gøre. Selv de førende udviklere af antivirus-software kan gøre noget skuldertræk, fordi, i modsætning til i dag AES256 krypteringssystem, derefter brugt AES1024 teknologi. Du forstår, at i udskrift kan tage mere end et årti, baseret på antallet af mulige tastekombinationer.

polymorfe trusler

Endelig er en anden række trusler, som bruger fænomenet polymorfi. Hvad er det? Det faktum, at virus er under konstant forandring din egen kode, og dette gøres på baggrund af den såkaldte flydende nøgle.

Med andre ord, en maske til at identificere truslen er ikke mulig, da, som det ses, varierer ikke kun af dens mønster baseret på koden, men også nøglen til afkodning. polymorfe særlige dekodere (udskrivere) bruges til at håndtere sådanne problemer. Men som praksis viser, er de i stand kun til at dechifrere de mest simple virus. Mere avancerede algoritmer, desværre, i de fleste tilfælde, deres indvirkning kan ikke være. Vi bør også sige, at ændringen af virus-koden er ledsaget af oprettelsen af kopier af deres reducerede længde, som kan afvige fra originalen er meget vigtigt.

Hvordan skal man behandle med bopæl trusler

Endelig vender vi os til spørgsmålet om bekæmpelse af hjemmehørende virus og beskytte edb-systemer af enhver kompleksitet. Den nemmeste måde at protektion kan betragtes installation af en fuldtidsansat antivirus-pakke, det er kun brug er bedst ikke gratis software, men i det mindste shareware (trial) version fra udviklere som "Doctor Web", "Kaspersky Anti-Virus", ESET NOD32 og Smart Security typen program, hvis brugeren er konstant arbejder med internettet.

Men i dette tilfælde, ingen er immune over for denne trussel ikke trænger til computeren. Hvis det er tilfældet, er opstået denne situation bør først bruge bærbare scannere, og det er bedre at bruge diskværktøjer Rescue Disk. De kan bruges til at starte det program interface og scanning før starten af det primære operativsystem (virus kan oprette og gemme deres egne kopier i systemet, og selv i-hukommelse).

Og igen, er det ikke anbefales at bruge software som SpyHunter, og senere fra pakken og dens tilhørende komponenter for at slippe af med den uindviede bruger ville være problematisk. Og, selvfølgelig, ikke bare slette de inficerede filer eller prøv at formatere harddisken. Bedre til at forlade behandlingen professionel anti-virus produkter.

konklusion

Det er fortsat at tilføje, at de ovenfor betragtes kun de vigtigste aspekter i forbindelse med hjemmehørende vira og metoder til at bekæmpe dem. Efter alt, hvis vi ser på computer trusler, så at sige, i en global forstand, hver dag er der et stort antal af dem, udviklerne retsmidler simpelthen ikke har tid til at komme op med nye metoder til håndtering af en sådan modgang.