Ресидент вируси: шта је и како да уништи је. Рачунарски вируси

Највише корисника на барем једном у животу суочени са концептом компјутерских вируса. Међутим, многи не знају да је класификација у основи претњи састоји се од два велика категорија: нерезидент и резидент вируса. Хајде да размотримо други разред, јер њени представници су најопасније, а понекад неизбрисива чак и форматирање диск или партицију.

Шта је меморијски-становник вируси?

Дакле, шта је корисник договор? Да би се поједноставио објашњење структуре и принципе рада тих вируса за почетак је да се фокусира на објашњавање шта је резидентни програм у целини.

Сматра се да је за ову врсту софтвера укључује апликације које раде стално у режиму мониторинга, експлицитно не показује своје радње (на пример, исти редовни вирус скенери). Што се тиче претњи које продиру у компјутерски систем, они не само висе стално у меморији рачунара, али и стварају своје двојнике. Тако, копије вируса и стално праћење система и да на њему, због чега их је тешко наћи. Неке претње Такође можете променити своју структуру, а њихово откривање на основу конвенционалних метода је практично немогуће. Мало касније, поглед на то како да се ослободите вируса овог типа. У међувремену, фокусирати на главне сорте претњи бораве.

Линук-претња

У почетку, када још није постојао ОС Виндовс или УНИКС као што су системи, а комуникација корисника са рачунаром је на нивоу инструкција, дошло је до "оперативни системи» Линук, довољно дуго да држи на врху популарности.

И то је за су такви системи поставили нерезидентне и резидент вирусе, од којих је ефекат је први усмерене на квара система или уклањање прилагођене датотеке и фасцикле.

Принцип рада таквих претњи, које, узгред, је у широкој употреби до сада, је да пресретну позиве фајлова, а затим заразе позвани. Међутим, већина познатих претњи данашњице ради под овом типу. Али, ево вируси продиру у систем или стварањем резидентни модул у облику возача који је наведен у датотеци за конфигурацију система, цонфиг.сис, или путем употребе посебних функција за праћење КЕЕП прекиде.

Ситуација је гора у случају када се користи меморијска-резидент вируси овог типа за доделу области системске меморије. Ситуација је таква да је први вирус "одсеца" део слободне меморије, онда обележава ову област као што је окупирана, а затим чува своју копију. Оно што је највише тужан, постоје случајеви у којима су копије у видео меморије, и на области које су резервисане за меморију, и прекида вектора табели, и ДОС оперативним областима.

Све ово чини копије претњи вируса је толико упоран да су, за разлику од нерезидентних вируса који воде до покренут неки програм или оперативни функција система, може се поново активирати и након рестарта. Поред тога, приликом приступа зараженог објекта вирус је у стању да створи свој примерак, чак у меморији. Као резултат - тренутак заустави рачунар. Као што је јасно, лечење вируса ове врсте мора спровести уз помоћ специјалних скенера, а пожељно је да стационарни, и преносни или они који су у стању да покрене са оптичког диска или УСБ-диск. Али више о томе касније.

покретање претња

Боот вируси продиру у систем сличним методом. То је само да се понашају, како се зове, деликатно, први "једе" комад системске меморије (обично 1 КБ, али понекад ова цифра може да достигне максимум од 30 КБ), а затим прописује да свом коду у облику копије, а затим почиње да захтевају рестарт. То је испуњен негативним последицама, јер након поново је вирус враћа смањену меморију на својој оригиналној величини, а копија је изван системске меморије.

Осим прекида праћење таквих вируси могу да пропише своју шифру у боот сектору (МБР рекорд). Ређе користи БИОС пресретања и ДОС, а сами вируси су напуњени једном, без провере за своје копије.

Вируси у оперативном систему Виндовс

Са појавом развоја вируса на Виндовс-система су достигли нови ниво, нажалост. Данас је било која верзија оперативног система Виндовс сматра најугроженијих систем, упркос напорима Мицрософт стручњака у развоју сигурносних модула.

Вируси дизајнирани на Виндовс, ради на принципу слична ДОС-а претеће, једини начин да се продре у компјутер има много више. Најчешћи су три главна, који је у вирус може прописати свој код система:

• Регистрација вируса као и тренутно покренутих апликација;
• расподела блока меморије и писати сопствену примерака;
• раде у систему под маском или прикривање ВкД возача под Виндовс НТ возача.

Заражене датотеке или област системске меморије, у принципу, може излечити конвенционалним методама, које се користе у скенерима анитивирусних (вирус маске детекције, поређење са базама података потписа и тако даље. Д.). Међутим, ако се користи непретенциозна бесплатне програме, они не могу да идентификују вирус, а понекад чак и дати лажно позитиван. Стога, зрак користити преносне алате као што су "Доктор Веб" (нарочито, Др. Веб ЦуреИт!) Или производи "Касперски". Међутим, данас можете пронаћи много алата овог типа.

makro вируси

Пред нама је још један низ претњи. Назив потиче од речи "макро", односно извршног апплет, односно додатка који се користи у неким уредницима. Није ни чудо да је покретање вируса јавља на почетку програма (Ворд, Екцел, и тако даље. Д.), Отварање канцеларије документа у, штампа је, позовите ставке менија, и тако даље С..

Такве претње у виду системских макроа се чувају у меморији за цео време рада уредника. Али, у принципу, ако се узме у обзир питање како да се ослободи од вируса овог типа, решење је веома једноставно. У неким случајевима, чак помаже уобичајене Искључити додатака или макроа у едитору, као и активирање аплетима антивирусна заштита, а да не помињемо уобичајене брзо скенирање антивирусни пакети систем.

Вируси на основу "стелт" технологије

Сада погледате маскиране вируса, није ни чудо да су добили своје име од стелт авиона.

Суштина њиховог функционисања се састоји управо у томе што су се представили као компоненте система и утврђивања њихове конвенционалне методе понекад може бити довољно тешко. Међу ове претње могу се наћи и макро вируси, и покрените претњу, и ДОС-вируси. Сматра се да је за Виндовс стелт вируса још увек нису развијени, иако многи стручњаци тврде да је то само питање времена.

филе сорте

У принципу, сви вируси могу назвати датотеку, јер на неки начин утичу на систем датотека и делују на фајловима, или да их инфицира са сопственим кодом, или шифрирање, или што неприступачан због корупције или брисања.

Најједноставнији пример је модерна цодерс вируси (пијавице), и злогласни И Лове Иоу. Они производе за заштиту од вируса није нешто што је тешко без посебних рассхифровоцхних кључева, а често је немогуће урадити. Чак и водећи програмери анти-вирус софтвер може да уради ништа раменима, јер, за разлику од данас система АЕС256 шифровање, онда се користи АЕС1024 технологију. Ви разумете да у записнику може трајати дуже од једне деценије, на основу броја могућих комбинација тастера.

полиморфне претње

Коначно, још један низ претњи које користе феномен полиморфизма. Шта је то? Чињеница да вируси се непрестано мењају свој код, а то се ради на основу тзв флоатинг кеи.

Другим речима, маска да идентификује претњу није могуће, јер, као што се види, варира не само по обрасцу на основу кода, али и кључ за декодирање. полиморфне посебне декодери (транскрипцију) се користи да се бави таквим проблемима. Међутим, као што је пракса показује, они су у стању да дешифрује само најједноставнији вируса. Софистицираније алгоритми, нажалост, у већини случајева, њихов утицај не може бити. Такође, треба рећи да је промена кода вируса прати стварање копија њиховог смањења дужине, које могу разликовати од оригинала је веома важно.

Како се носити са резидентним претњи

Коначно, окрећемо се питању борбе против вируса сталне и заштити рачунарских система било сложености. Најлакши начин да покровитељством може сматрати инсталација пакета антивирус са пуним радним временом, то је само употреба је најбоље не слободан софтвер, али барем шервер (суђење) верзија од програмера, као што је "Доктор Веб", "Касперски Анти-Вирус", ЕСЕТ НОД32 и типа програма Смарт Сецурити, ако је корисник стално ради са Интернета.

Међутим, у овом случају, нико није имун од та претња не продиру у рачунар. Ако је тако, ова ситуација није дошло, треба прво користити преносне скенере, и то је боље користити диск комуналије Ресцуе Диск. Они се могу користити да покренете програмски интерфејс и скенирање пре почетка главног оперативног система (вируси могу креирати и чувати своје копије у систему, па чак и у меморији).

И опет, то се не препоручује да користите програме као што Спихунтер, а касније из пакета и пратећим компонентама да се отараси неупућене корисника ће бити проблематично. И, наравно, не само обрисати заражене датотеке, или покушати форматирати хард диск. Боље да напусти лечења професионални анти-вирус производа.

закључак

Остаје да додам да су изнад сматрати само главни аспекти везани за резидентним вируса и метода у борби са њима. На крају крајева, ако погледамо компјутерских претњи, да тако кажемо, у глобалном смислу, сваки дан је велики број њих, програмери лекови једноставно немају времена да се са новим методама које се баве таквим невољама.