Rezidentní viry: co to je a jak je zničit. Počítačové viry
Většina uživatelů alespoň v životě narazila na pojetí počítačové viry. Je pravda, že mnoho lidí ví, že klasifikace hrozeb se v podstatě skládá ze dvou velkých kategorií: neresidentů a rezidentních virů. Pojďme se zabývat druhou třídou, protože její zástupci jsou nejnebezpečnější a někdy i nerentabilní, i když je disk nebo logický oddíl formátován.
Obsah
Co jsou rezidentní viry?
Takže, s čím se uživatel musí vyrovnat? Pro zjednodušené vysvětlení struktury a principů fungování takových virů stojí za to zabývat se vysvětlením toho, o co jde rezidentní program.
Předpokládá se, že pro tento typ softwaru zahrnuje aplikace, které běží nepřetržitě v režimu monitorování, explicitně nezobrazuje vaše akce (například stejné pravidelné antivirové programy). Co se týče hrozeb pronikajících do počítačových systémů, nejenže neustále visí v paměti počítače, ale vytváří vlastní duplikáty. Kopie virů tak neustále monitorují systém a pohybují se kolem něj, což je velmi obtížné najít. Některé hrozby jsou také schopny změnit svou vlastní strukturu a jejich detekce na základě obecně uznávaných metod je prakticky nemožné. O něco později se podíváme, jak se zbavit virů tohoto typu. Mezitím se zamyslíme nad hlavními typy ohrožení obyvatelstva.
DOS hrozby
Zpočátku, kdy se systémy windows nebo UNIX jako dosud neexistoval, a uživatel komunikaci s počítačem je na úrovni instrukčního, došlo k „operační systémy» DOS, dost dlouho držet na vrcholu popularity.
A právě v takových systémech se začaly vytvářet viry nerezidentů a rezidentů, jejichž činnost byla nejprve zaměřena na porušení výkonu systému nebo na odstranění souborů a složek uživatelů.
Princip fungování takových hrozeb, který je mimochodem dosud široce využíván, spočívá v tom, že zachycuje přístup k souborům a pak infikuje nazvaný objekt. Většina dnešních známých hrozeb však pracuje na tomto typu. Viry však proniknou do systému buď vytvořením rezidentního modulu ve formě ovladače, který je specifikován v konfiguračním souboru systému Config.sys, nebo pomocí speciální funkce KEEP pro sledování přerušení.
Situace je horší, když rezidentní viry tohoto typu používají přidělení oblastí systémové paměti. Situace je taková, že první virus „odřízne“ kus volné paměti, označí tuto oblast jako obsazený, pak udržuje svou vlastní kopii. Co je nejvíce smutné, existují případy, kdy kopie jsou v grafické paměti, a v oblastech vyhrazených pro schránky a vektor přerušení tabulky a systémové oblasti DOS.
To vše dělá kopie virové hrozby je tak vytrvalý, že na rozdíl od virů, non-rezidenty, které běží až do spuštění programu nebo provozní funkce systému, mohou být znovu aktivována i po restartu. Navíc při přístupu k infikovanému objektu může virus vytvořit vlastní kopii i v paměti RAM. V důsledku toho je momentální počítač zavěšen. Jak je zřejmé, léčba virů tohoto typu musí být provedeno pomocí speciálních skenerů, a je žádoucí, není stacionární a mobilní nebo ty, kteří jsou schopni bootovat z optické mechaniky nebo USB disk. Ale o tom později.
Boot hrozby
Zaváděcí viry pronikají do systému podobným způsobem. To je prostě chovají, co se nazývá, jemně, jako první „jíst“ kus systémové paměti (obvykle 1 kB, ale někdy se toto číslo může dosáhnout maximálně 30 kB), a pak se předepisování vlastního kódu ve formě kopie, a pak se začínají vyžadovat restart počítače. Toto je plné negativních důsledků, protože po restartování virus obnoví sníženou paměť na původní velikost a její kopie je mimo systémovou paměť.
Vedle sledování přerušení mohou takové viry předepisovat vlastní kódy v zaváděcím sektoru (záznam MBR). Zablokování systému BIOS a DOS se používá méně často a viry se stahují pouze jednou, aniž by se zkontrolovala přítomnost jejich kopie.
Viry pod Windows
S nástupem systémů založených na systému Windows dosáhl vývoj bohužel dosud nové úrovně. Dnes je Windows jakékoli verze, která je považována za nejzranitelnější systém, a to i přes snahu odborníků společnosti Microsoft o vývoj bezpečnostních modulů.
Viry navržené pro systém Windows fungují na principu podobném hrozbám DOS, ale existuje mnohem více způsobů, jak proniknout do počítače. Z nejběžnějších identifikujte tři hlavní, podle kterých může virus v systému napsat svůj vlastní kód:
- zaznamenávání viru jako aktuálně spuštěné aplikace;
- přidělení bloku paměti a záznam v vlastní kopii;
- práci v systému pod maskou ovladače VxD nebo převlečení jako ovladač WINDOWSNT.
Infikované soubory nebo oblasti systémové paměti mohou být v zásadě vyléčeny standardními metodami, které se používají v systému Windows antivirové skenery (detekce maskou viru, porovnání s podpisovými databázemi atd.). Nicméně, pokud jsou používány nenáročné programy zdarma, nemohou detekovat virus a někdy dokonce dát falešný spoušť. Ray tedy používá přenosné nástroje, jako je například Doctor Web (zejména Dr.Web CureIt!) Nebo produkty společnosti Kaspersky Lab. Dnes však najdete spoustu nástrojů tohoto druhu.
Makro viry
Před námi je další druh ohrožení. Název pochází ze slova "makro", tj. Spustitelný applet nebo doplněk, který se používá v některých editorech. Není divu, že se virus spustí po spuštění programu (Word, Excel atd.), Otevírá kancelářský dokument, vytiskne jej, vyvolá položky menu a podobně.
Takové hrozby ve formě systémových maker jsou v paměti po celou dobu fungování editoru. Ale obecně, pokud se zamyslíme nad tím, jak se zbavit virů tohoto typu, je řešení poměrně jednoduché. V některých případech, to pomáhá i obvyklé zakázat doplňky nebo makra v editoru, stejně jako aktivace appletů antivirové ochrany, nemluvě o obvyklý rychlý balíčků systém skenování antivirový.
Viry založené na technologii stealth
Nyní se podívejme na maskovací viry, protože vědomě dostali své jméno od neviditelného letadla.
Podstatou jejich fungování je přesně to, že se předstírají, že jsou systémovou složkou, a jejich definováním obvyklými metodami je někdy poměrně komplikovaná záležitost. Mezi těmito hrozbami patří i viry maker, bootovací hrozby a DOS-viry. To je věřil, že pro Windows stealth viry ještě nejsou vyvinuty, ačkoli mnozí odborníci říkají, že je to jen otázka času.
Typy souborů
Obecně platí, že všechny viry mohou být s názvem souboru, protože se nějakým způsobem ovlivňují souborový systém a působí na soubory, nebo infikovat je s vlastním kódem, nebo šifrováním, nebo při nepřístupné kvůli korupci nebo vymazání.
Nejběžnějšími příklady jsou moderní kryptografické viry (extortionisté), stejně jako notoricky známá I Love You. S nimi bez zvláštních dešifrovacích klíčů není léčba virů těžkým, ale často nemožným. Dokonce i přední vývojáři antivirového softwaru jsou bezmocní, aby vytvořili bezmocné gesto, protože na rozdíl od moderních šifrovacích systémů AES256 se zde používá technologie AES1024. Chápete, že dekódování může trvat déle než dvanáct let na základě počtu možných možností pro klíč.
Polymorfní ohrožení
Konečně, další druh ohrožení, ve kterém se uplatňuje fenomén polymorfismu. Co se skládá z? Skutečnost, že viry neustále mění svůj vlastní kód, což se děje na základě takzvaného plovoucího klíče.
Jinými slovy, není možné definovat hrozbu maskou, protože, jak vidíme, změnila se nejen kódová struktura, ale i klíč k dešifrování. Pro řešení takových problémů se používají speciální polymorfní dekodéry (dekryptery). Nicméně, jak ukazuje praxe, jsou schopny rozluštit pouze nejjednodušší viry. Složitější algoritmy, bohužel, ve většině případů, jejich účinky nejsou přístupné. Samostatně je třeba říci, že změna kódu takových virů doprovází tvorbu kopií se sníženou délkou, která se mohou od původního originálu výrazně lišit.
Jak se vypořádat s domácími hrozbami
Nakonec se zaměříme na problematiku řešení rezidentních virů a na ochranu počítačových systémů jakýchkoli složitostí. Nejjednodušší způsob, jak sponzorství může být považován za instalaci balíčku anti-virus na plný úvazek, to je jen použití není nejlepší svobodný software, ale aspoň shareware (trial) verze od vývojářů, jako je „Doctor Web“, „Kaspersky Anti-Virus“, ESET NOD32 a typu programu Smart Security, pokud uživatel neustále pracuje s internetem.
V tomto případě však nikdo není imunní vůči tomu, že hrozba nepronikne do počítače. Pokud tomu tak je, musíte nejprve použít přenosné skenery a lépe používat nástroj pro záchranu disku Rescue Disk. S jejich pomocí můžete stáhnout programové rozhraní a skenovat před zahájením hlavního operačního systému (viry mohou vytvářet a ukládat vlastní kopie v systému i v paměti RAM).
A opět: nedoporučujeme používat software, jako je SpyHunter, a pak bude problematické zbavit se samotného balíčku a jeho doprovodných komponent neoficiálnímu uživateli. A samozřejmě neměňte okamžitě infikované soubory nebo zkuste formátovat pevný disk. Lepší nechte léčbu na profesionální antivirové produkty.
Závěr
Zbývá dodat, že pouze hlavní aspekty týkající se rezidentních virů a způsoby boje proti nim byly shrnuty výše. Koneckonců, pokud se podíváte na počítačové hrozby, tak v globálním smyslu, každý den je tak obrovský počet, že vývojáři bezpečnostních nástrojů prostě nemají čas na to, aby přišli s novými metodami k potírání těchto neštěstí.
Jak mohu zkontrolovat telefon na viry?- Jak odstranit virus, který pronikl do počítače. Pracovní specialista.
- Je snadné porazit elektronický virus. Jak odebrat Trojan
- Vše, co víme o počítačových virech!
Jak zkontrolovat viry na počítači nebo Zabránit počítačové epidemii
Zkusme zjistit, které antivirové programy jsou dobré
Jak zkontrolovat počítač viry: způsoby
Antivirus je co? Základní pojmy
Jak a jak zkontrolovat soubor virů?
Antivirové programy jsou počítačové nástroje pro detekci a odstraňování virů
Jak zkontrolovat viry? Podrobná analýza
Pomůcky - počítačové antivirové skenery
Jaké jsou charakteristické rysy počítačového viru?- Antivirus pro flash disk nebo Jak chránit vyměnitelné médium před škodlivými programy. Tipy pro…
Polymorfní viry - co je to a jak s nimi jednat?- Klasifikace počítačových virů. K dispozici o komplexu
- Bavíte se, jak vytvořit virus!
Jak počítač vyčistit viry
Co je špatné s počítačem nebo Klasifikace virů
Zavádění virů: osobně poznáváme nepřítele
Dva spolehlivé způsoby, jak osvobodit počítač od virů