Rezidentní viry: co to je a jak zničit. počítačové viry

Většina uživatelů alespoň jednou ve svém životě potýkají s představou o počítačových virů. Nicméně, není mnoho vědět, že zařazení do základu hrozeb se skládá ze dvou velkých kategorií: non-rezidenty a rezidentních virů. Uvažujme druhý stupeň, protože její zástupci jsou nejnebezpečnější, a někdy undeletable dokonce formátování disku nebo diskového oddílu.

Co je to paměť rezidentní viry?

Takže, co je uživatel jde? Pro zjednodušení vysvětlení struktury a principy fungování takových virů, kdo je zaměřit se na vysvětlení, co rezidentní programu obecně.

Předpokládá se, že pro tento typ softwaru zahrnuje aplikace, které běží nepřetržitě v režimu monitorování, explicitně nezobrazuje vaše akce (například stejné pravidelné antivirové programy). Pokud jde o hrozby, které pronikají do počítačového systému, nemají prostě viset natrvalo v paměti počítače, ale také vytvářet své vlastní zdvojnásobí. Tedy kopie viru a neustále monitorují systému a přesunout na něj, což ztěžuje najít. Některé hrozby mohou také změnit svou vlastní strukturu a jejich detekce na základě konvenčních metod je prakticky nemožné. O něco později, pohled na to, jak se zbavit virů tohoto typu. Do té doby se zaměřují na hlavních druhů hrozeb rezidenty.

DOS-hrozba

Zpočátku, kdy se systémy windows nebo UNIX jako dosud neexistoval, a uživatel komunikaci s počítačem je na úrovni instrukčního, došlo k „operační systémy» DOS, dost dlouho držet na vrcholu popularity.

A to je pro takovéto systémy byly zřízeny nerezidentů a rezidentní viry, jehož účinek byl nejprve směřující k selhání systému nebo odstranění vlastních souborů a složek.

Princip fungování těchto hrozeb, který, mimochodem, je široce dosud používanými, je to, že zachytí volání na soubory, a pak infikovat volaného. Nicméně, většina známých hrozeb dneška funguje na základě tohoto typu. Ale tady je to viry pronikají do systému, nebo vytvořením rezidentní modul v podobě řidiče, který je uveden v konfiguračním souboru systému, Config.sys, nebo pomocí speciálních funkcí pro sledování KEEP přerušení.

Situace je ještě horší v případě, kdy rezidentní viry tohoto typu se používá pro přidělování prostoru systémové paměti. Situace je taková, že první virus „odřízne“ kus volné paměti, označí tuto oblast jako obsazený, pak udržuje svou vlastní kopii. Co je nejvíce smutné, existují případy, kdy kopie jsou v grafické paměti, a v oblastech vyhrazených pro schránky a vektor přerušení tabulky a systémové oblasti DOS.

To vše dělá kopie virové hrozby je tak vytrvalý, že na rozdíl od virů, non-rezidenty, které běží až do spuštění programu nebo provozní funkce systému, mohou být znovu aktivována i po restartu. Navíc při pokusu o přístup infikovaný objekt je virus schopen vytvořit svůj vlastní kopii, a to i v paměti. V důsledku toho - okamžité zastavení počítače. Jak je zřejmé, léčba virů tohoto typu musí být provedeno pomocí speciálních skenerů, a je žádoucí, není stacionární a mobilní nebo ty, kteří jsou schopni bootovat z optické mechaniky nebo USB disk. Ale o tom později.

boot hrozba

Zaváděcí viry proniknout do systému podobným způsobem. To je prostě chovají, co se nazývá, jemně, jako první „jíst“ kus systémové paměti (obvykle 1 kB, ale někdy se toto číslo může dosáhnout maximálně 30 kB), a pak se předepisování vlastního kódu ve formě kopie, a pak se začínají vyžadovat restart počítače. To s sebou nese negativní důsledky, protože po restartování virus obnovuje sníženou paměť do původní velikosti, a kopie je mimo systémové paměti.

Kromě sledování přerušení takové viry jsou schopny stanovit svůj vlastní kód do zaváděcího sektoru (MBR záznamu). Méně často používané BIOS zachytí a DOS a samotné viry jsou načteny najednou, bez kontroly vlastních kopií.

Viry v systému Windows

S příchodem vývoje viru pro Windows systému se dostaly na novou úroveň, bohužel. Dnes je jakákoliv verze Windows je považována za nejzranitelnější systém, a to navzdory snahám odborníků Microsoftu při vývoji bezpečnostních modulů.

Viry určené pro Windows, funguje na principu podobný DOS-hrozit, jediný způsob, jak proniknout do počítače existuje mnohem více. Nejběžnější jsou tři hlavní, které virus může předepsat svůj vlastní kód systému:

• Registrace viru jako aktuálně spuštěných aplikací;
• přidělení bloku paměti a psát svou vlastní kopií;
• pracovat v systému pod rouškou nebo zakrytí ovladače VxD pod ovladačem Windows NT.

Infikované soubory nebo systém paměťová oblast, v zásadě mohou být léčeny konvenčními způsoby, které se používají v anti-virů (virus detekční masky, ve srovnání s databází podpisů apod. D.). Nicméně, pokud se používá nenáročný volných programů, které nelze identifikovat virus, a někdy dokonce dát falešně pozitivní. Proto se paprsek pomocí přenosné nástroje jako „Doctor Web“ (zejména Dr. Web CureIt!) Nebo produkty „Kaspersky Lab“. Nicméně, dnes si můžete najít spoustu nástrojů tohoto typu.

makro viry

Před námi je další řada hrozeb. Jméno pochází ze slova „makro“, tedy spustitelný applet nebo doplňku používá v některých editorech. Není tedy divu, že zahájení virus se vyskytuje na začátku programu (Word, Excel, a tak dále. D.), Otevření dokumentu Office, vytisknout, zavolejte položky menu, a tak dále. N.

Takové hrozby v podobě systému makra jsou uloženy v paměti po celou dobu běhu času editorem. Ale obecně, pokud vezmeme v úvahu otázku, jak se zbavit virů tohoto typu řešení je poměrně jednoduché. V některých případech, to pomáhá i obvyklé zakázat doplňky nebo makra v editoru, stejně jako aktivace appletů antivirové ochrany, nemluvě o obvyklý rychlý balíčků systém skenování antivirový.

Viry na základě „stealth“ technologie

Nyní se podívejte na maskovaných virů, není divu, že se dostali své jméno z stealth letadla.

Podstatou jejich fungování spočívá právě v tom, že vystupují jako součást systému a určit jejich konvenční metody může být někdy dost těžké. Mezi tyto hrozby lze nalézt a makro viry, a zavést hrozbu, a DOS viry. Předpokládá se, že pro Windows stealth virů ještě nebyly vyvinuty, přestože mnozí experti tvrdí, že je jen otázkou času.

odrůdy souborů

Obecně platí, že všechny viry mohou být s názvem souboru, protože se nějakým způsobem ovlivňují souborový systém a působí na soubory, nebo infikovat je s vlastním kódem, nebo šifrováním, nebo při nepřístupné kvůli korupci nebo vymazání.

Nejjednodušším příkladem je moderní kodéry viry (pijavice), a neslavný Miluji tě. Oni produkují anti-virus není něco, co je obtížné bez speciálních rasshifrovochnyh klíčů a často je nemožné dělat. Dokonce i přední vývojáři anti-virus software může dělat nic rameny, protože na rozdíl od dnešní šifrování AES256 systému, pak používá AES1024 technologie. Chápete, že v přepisu může trvat déle než deset let, na základě počtu možných kombinací kláves.

polymorfní hrozby

Konečně, další řada hrozeb, které využívají fenomén polymorfismus. Co je to? Skutečnost, že viry se neustále mění svůj vlastní kód, a to se provádí na základě takzvaného plovoucího klíčem.

Jinými slovy, maska hrozbu identifikovat není možné, protože, jak je vidět, se liší nejen svým vzorem na základě kódu, ale také klíč k dekódování. polymorfní speciální dekodéry (transcribers) se používají k řešení těchto problémů. Nicméně, jak praxe ukazuje, že jsou schopni dešifrovat pouze nejjednodušší viry. Sofistikovanější algoritmy, bohužel, ve většině případů, jejich dopad nelze. Měli bychom také říci, že změna kódu viru je doprovázeno vytvořením kopií jejich menší délce, která se mohou lišit od originálu je velmi důležité.

Jak se vypořádat s hrozbami rezidenty

A konečně, obracíme se k problematice boje proti viry rezidentní a chrání počítačové systémy libovolné složitosti. Nejjednodušší způsob, jak sponzorství může být považován za instalaci balíčku anti-virus na plný úvazek, to je jen použití není nejlepší svobodný software, ale aspoň shareware (trial) verze od vývojářů, jako je „Doctor Web“, „Kaspersky Anti-Virus“, ESET NOD32 a typu programu Smart Security, pokud je uživatel neustále pracují s Internetem.

Nicméně, v tomto případě nikdo není imunní vůči že hrozba neproniká do počítače. Pokud ano, tato situace nastala, je třeba nejprve použít přenosné skenery, a to je lepší použít diskové nástroje Rescue Disk. Mohou být použity ke spuštění rozhraní aplikace a skenování před zahájením hlavního operačního systému (viry mohou vytvářet a ukládat své vlastní kopie v systému, a to i v paměti).

A opět, to není doporučeno používat software, jako je SpyHunter a později z balíku a jeho přidružených komponentů zbavit nezasvěcené uživatele by bylo problematické. A, samozřejmě, ne jen smazat infikované soubory nebo při pokusu o formátování pevného disku. Lepší nechat léčebných profesionální antivirové produkty.

závěr

Zbývá dodat, že výše uvedené považován pouze hlavní aspekty týkající se rezidentních virů a metod boje proti nim. Koneckonců, když se podíváme na počítačových hrozeb, tak říkajíc, v celosvětovém měřítku, každý den tam je velký počet z nich, vývojáři prostředky prostě nemají čas přijít s novými způsoby nakládání s takovou nepřízní osudu.