Resident virus: ano ito at kung paano upang sirain. mga virus ng computer

Karamihan sa mga gumagamit ng hindi bababa sa isang beses sa kanyang buhay nahaharap sa mga konsepto ng mga virus ng computer. Gayunpaman, hindi maraming alam na ang pag-uuri sa mga batayan ng mga banta ay binubuo ng dalawang malalaking kategorya: non-resident at resident virus. Ipaalam sa amin isaalang-alang ang pangalawang grado, dahil iyon kinatawan nito ay ang pinaka-mapanganib, at kung minsan undeletable maging ng pag-format ang disk o partition.

Ano ang isang memory-resident virus?

Kaya, kung ano ang pakikitungo user? Upang gawing simple ang paliwanag ng mga istraktura at mga prinsipyo ng operasyon ng naturang virus upang magsimula ay mag-focus sa pagpapaliwanag kung ano ang resident programa sa kabuuan.

Ito ay pinaniniwalaan na para sa ganitong uri ng software na nagsasama ng mga application na patuloy na tumakbo sa mode monitoring, tahasang hindi nagpapakita ang iyong mga aksyon (halimbawa, ang parehong regular na virus scanner). Tulad ng para sa mga pagbabanta na tumagos sa system ng computer, sila ay hindi lamang mag-hang nang permanente sa memory ng computer, ngunit din gumawa ng kanilang sariling doubles. Kaya, ang mga kopya ng virus at ay patuloy na pagsubaybay sa sistema at ilipat sa mga ito, na ginagawang mahirap upang mahanap ang mga ito. Ang ilang mga banta ay maaari ring baguhin ang sarili nitong istraktura, at ang kanilang pagtuklas sa batayan ng maginoo pamamaraan ay halos imposible. Ang isang maliit na mamaya, ang isang pagtingin sa kung paano sa kumuha alisan ng mga virus ng ganitong uri. Sa habang panahon, tumuon sa mga pangunahing varieties ng mga banta residente.

DOS-pagbabanta

Sa una, kapag ang Windows- o UNIX-tulad ng sistema pa rin ay hindi umiiral, at ang mga user ng komunikasyon sa ang computer ay nasa antas ng pagtuturo, nagkaroon ng "OSes» DOS, may sapat na katagalan upang i-hold sa peak ng kasikatan.

At ito ay para sa mga naturang sistema ay set up hindi naninirahan at residente sa mga virus, ang epekto ng kung saan ay unang itinuro sa madepektong paggawa ng system o alisin ang mga custom na mga file at mga folder.

Ang prinsipyo ng operasyon ng naturang mga banta, na kung saan, hindi sinasadya, ay malawakang ginagamit sa ngayon, ay na harangin sila ng mga tawag sa mga file, at pagkatapos ay mahawahan ang callee. Gayunman, karamihan sa mga kilalang mga banta ng araw na ito ay gumagana sa ilalim ng ganitong uri. Ngunit narito ang mga virus tumagos sa system o sa pamamagitan ng paglikha ng isang residente module sa anyo ng isang driver na ay tinukoy sa system configuration file, ang Config.sys, o sa pamamagitan ng paggamit ng mga espesyal na pag-andar para sa pagsubaybay PANATILIHING interrupts.

Ang sitwasyon ay mas masahol pa sa kaso kapag ang isang memory-resident virus na may ganitong uri ay ginagamit para sa paglalaan ng isang lugar ng memory ng system. Ang sitwasyon ay tulad na ang unang virus "ay mapuputol off" ng isang piraso ng libreng memorya, at pagkatapos ay minamarkahan ang lugar na ito bilang maraming ginagawa, at pagkatapos ay nagpapanatili ng sarili nitong kopya nito. Ano ang pinaka-malungkot, may mga kaso kung saan mga kopya ay nasa video memory, at sa mga lugar na nakalaan para sa clipboard, at ang makatakip vector talahanayan, at DOS operating lugar.

Ang lahat ng ito ay gumagawa ng mga kopya ng mga virus pagbabanta ay kaya tenacious na sila, hindi tulad ng non-resident virus na tatakbo hanggang tumatakbo ang ilang mga programa o operating function ng sistema, maaaring i-activate muli kahit na matapos ang pag-reboot. Bilang karagdagan, kapag ina-access ang mga nahawaang object ang virus ay magagawang lumikha ng iyong sariling kopya, kahit na sa memorya. Bilang isang resulta - instant magpahintu-hinto ang computer. Bilang ay malinaw, ang paggamot ng mga virus na may ganitong uri ay dapat na natupad sa tulong ng mga espesyal na scanner, at ito ay kanais-nais na hindi nakatigil, at portable o mga taong makapag-boot mula sa optical drive o USB-drive. Ngunit higit pa tungkol sa na mamaya.

boot pagbabanta

Boot virus tumagos sa system sa pamamagitan ng isang katulad na paraan. Iyan na lamang kumikilos ang mga ito, kung ano ay tinatawag na, delicately, unang "kumain" ng isang piraso ng memory ng system (karaniwang 1 KB, ngunit kung minsan ito tayahin ay maaaring maabot ang isang maximum na 30 KB), at pagkatapos ay magreseta sa kanyang sariling code sa anyo ng isang kopya, at pagkatapos ay nagsisimula upang mangailangan ng isang reboot. Ito ay puno na may mga negatibong kahihinatnan, dahil matapos i-restart ang virus restores ang nabawasan memory sa orihinal nitong laki, at ang isang kopya ay nasa labas ng memory ng system.

Bilang karagdagan sa pagsubaybay sa mga pagkaantala tulad ng mga virus ay magagawang upang mag-atas ng kanilang sariling mga code na ito sa boot sector (MBR record). Mas madalas na ginagamit BIOS intercepts at ang DOS, at ang mga virus sa kanilang sarili na-load sa isang beses, nang walang paglagay ng tsek para sa kanilang sariling kopya.

Virus sa Windows

Gamit ang pagdating ng virus pag-unlad ng Windows-systems ay umabot sa isang bagong antas, sa kasamaang-palad. Ngayon ito ay ang anumang bersyon ng Windows ay itinuturing na ang pinaka-mahina laban system, sa kabila ng mga pagsisikap na ginawa ng Microsoft sa mga eksperto sa pag-unlad ng kaligtasan ng mga module.

Virus na dinisenyo sa Windows, ay gumagana sa mga prinsipyo na katulad ng DOS-pagbabanta, tanging paraan upang tumagos ang computer doon ay marami pang iba. Ang pinaka-karaniwang tatlong pangunahing, na siya ang virus ay maaaring magreseta ng sarili nitong code na sistema:

• Pagpaparehistro ng mga virus bilang ang kasalukuyang pagpapatakbo ng mga application;
• ang paglalaan ng isang bloke ng memorya at sumulat sa mga ito ng sariling kopya;
• gumagana sa sistema sa ilalim ng pagkukunwari o magkaila driver VxD sa ilalim ng Windows NT driver.

Nahawaang file o system memory na lugar, sa prinsipyo, ay maaaring cured sa pamamagitan ng maginoo pamamaraan, na ginagamit sa anti-virus scanner (virus detection mask, paghahambing sa mga database ng mga lagda at iba pa. D.). Gayunpaman, kung ginamit hindi mapagpanggap libreng programa, sila ay hindi maaaring makilala ang mga virus, at kung minsan kahit na magbigay ng isang maling positibo. Samakatuwid, ang beam gamitin portable tool tulad ng "Doctor Web" (sa partikular, Dr Web CureIt!) O mga produkto "Kaspersky Lab". Gayunpaman, ngayon maaari mong mahanap ang isang pulutong ng mga kasangkapan ng ganitong uri.

macro virus

Bago sa amin ay isa pang iba't-ibang mga pagbabanta. Ang pangalan ay mula sa salitang "macro", ibig sabihin, isang executable applet, o ang add ginagamit sa ilang mga editor. Ito ay hindi nakakagulat na ang paglulunsad ng mga virus ay nangyayari sa simula ng programa (Word, Excel, at iba pa. D.), Ang pagbubukas ng isang opisina ng dokumento, i-print ito, tawagan ang item sa menu, at iba pa. N.

Ang ganitong mga banta sa anyo ng mga macros na sistema ay naka-imbak sa memorya para sa buong running time editor. Ngunit sa pangkalahatan, kung isaalang-alang namin ang tanong ng kung paano sa kumuha alisan ng mga virus na may ganitong uri, ang solusyon ay medyo simple. Sa ilang mga kaso, ito ay tumutulong sa kahit na ang karaniwang Huwag paganahin ang Add-ons o macros sa editor, pati na rin ang pag-activate ng antivirus proteksyon applets, hindi upang mailakip ang mga karaniwang mabilis na pag-scan ng antivirus pakete sistema.

Mga virus sa batayan ng "nakaw" na teknolohiya

Ngayon tingnan ang disguised mga virus, ito ay hindi nakakagulat na sila got ang kanilang pangalan mula sa isang stealth sasakyang panghimpapawid.

Ang kakanyahan ng kanilang mga gumagana ay ganap na binubuo sa katotohanan na ipakita nila ang kanilang mga sarili bilang isang bahagi ng system at matukoy ang kanilang maginoo pamamaraan ay maaring maging mahirap sapat. Kabilang sa mga ito banta ay maaaring matagpuan at macro virus, at boot ang pagbabanta, at DOS-virus. Ito ay pinaniniwalaan na para sa Windows stealth virus ay hindi pa binuo, bagaman maraming mga eksperto magtaltalan na ito ay lamang ng isang bagay ng oras.

uri ng file

Sa pangkalahatan, ang lahat ng mga virus ay maaaring tinatawag na isang file, dahil ang mga ito sa anumang paraan makakaapekto sa file system at kumilos sa file, o hawaan kanyang sariling code, o ng pag-encrypt, o paggawa ng hindi mararating dahil sa katiwalian o pagtanggal.

Ang pinakasimpleng halimbawa ay ang modernong coders virus (leeches), at ubod ng sama Mahal kita. Sila ay makabuo ng anti-virus ay hindi isang bagay na mahirap nang walang espesyal na rasshifrovochnyh mga susi, at madalas na ito ay imposible na gawin. Maging ang nangungunang developer ng mga anti-virus software ay maaaring gawin wala kibit balikat, dahil, hindi katulad ngayon AES256 encryption system, at pagkatapos ay ginagamit AES1024 teknolohiya. Nauunawaan mo na sa transcript ay maaaring tumagal ng higit sa isang dekada, batay sa bilang ng mga posibleng mga kumbinasyon susi.

polymorphic pagbabanta

Sa wakas, isa pang iba't-ibang mga pagbabanta, na gumagamit ng phenomenon ng polymorphism. Ano ito? Ang katotohanan na ang mga virus ay patuloy na pagbabago ng iyong sariling code, at ito ay tapos na sa batayan ng ang tinatawag na lumulutang key.

Sa ibang salita, ang isang mask upang makilala ang mga banta ay hindi posible, dahil, tulad ng nakikita, ay nag-iiba hindi lamang sa pamamagitan ng kanyang pattern batay sa code, ngunit din susi sa pag-decode. polymorphic espesyal na decoders (transcribers) ay ginagamit upang harapin na may tulad na mga problema. Gayunpaman, bilang kasanayan palabas, ay magagawang maintindihan lamang ang pinaka-simpleng virus nila. Higit pang mga sopistikadong algorithm, sa kasamaang palad, sa karamihan ng mga kaso, ang kanilang mga epekto ay hindi maaaring maging. Kami ay dapat ding sabihin na ang pagbabago ng mga virus code ay sinamahan ng ang paglikha ng mga kopya ng kanilang nabawasan ang haba, na kung saan maaaring mag-iba mula sa orihinal na ay napakahalaga.

Paano haharapin ang mga residente pagbabanta

Sa wakas, kami ay pasasa mga isyu ng paglaban sa mga virus residente at protektahan ang computer system ng anumang kasalimuotan. Ang pinakamadaling paraan upang pagtataguyod maaaring ituring ang pag-install ng isang full-time na anti-virus pakete, iyon ang tanging paggamit ay pinakamahusay na hindi libreng software, ngunit hindi bababa sa shareware (trial) na bersyon mula sa mga developer tulad ng "Doctor Web", "Kaspersky Anti-Virus", ang ESET NOD32 at Smart Security type ang programa, kung ang gumagamit ay patuloy na nagtatrabaho sa Internet.

Gayunpaman, sa kasong ito, walang sinuman ay immune mula sa na banta ay hindi tumagos sa computer. Kung gayon, situasyon na ito ay nangyari, dapat gamitin muna portable scanner, at ito ay mas mahusay na gumamit ng disk utility Rescue Disk. Maaari silang gamitin upang boot ang program na interface at pag-scan bago ang simula ng ang pangunahing operating system (mga virus ay maaaring lumikha at mag-store ng kanilang sariling mga kopya sa system, at kahit na in-memory).

At muli, hindi ito ay inirerekumenda na gumamit ng software tulad ng SpyHunter, at pagkatapos ay sa ibang pagkakataon mula sa pakete at ang mga nauugnay na mga bahagi upang makakuha ng mapupuksa ang mga uninitiated user ay may problemang. At, siyempre, huwag lang tanggalin ang mga nahawaang file o subukan upang i-format ang hard drive. Mas mahusay na upang iwanan ang paggamot propesyonal na anti-virus mga produkto.

konklusyon

Ito ay nananatiling upang idagdag na ang itaas-alang lamang ang pangunahing mga aspeto na may kaugnayan sa resident virus at pamamaraan upang labanan ang mga ito. Matapos ang lahat, kung tinitingnan namin ang mga banta computer, kaya na magsalita, sa isang pandaigdigang kamalayan, araw-araw doon ay isang mahusay na bilang ng mga ito, ang mga developer remedyo lamang ay hindi magkaroon ng panahon upang makabuo ng mga bagong paraan ng pagharap sa naturang sakuna.