Virus pemastautin: apa yang ia dan bagaimana untuk memusnahkan. virus komputer

Kebanyakan pengguna sekurang-kurangnya sekali dalam hidupnya berhadapan dengan konsep virus komputer. Walau bagaimanapun, tidak ramai yang tahu bahawa klasifikasi dalam asas ancaman terdiri daripada dua kategori besar: bukan pemastautin dan pemastautin virus. Mari kita kaji gred kedua, kerana yang wakilnya adalah yang paling berbahaya, dan kadang-kadang undeletable walaupun oleh memformatkan cakera atau partition.

Apakah yang dimaksudkan dengan virus memori pemastautin?

Jadi, apa yang pengguna perjanjian itu? Untuk memudahkan penjelasan struktur dan prinsip-prinsip operasi virus seperti untuk memulakan adalah untuk memberi tumpuan kepada menjelaskan program yang bermastautin secara umum.

Adalah dipercayai bahawa untuk jenis perisian termasuk aplikasi yang berjalan secara berterusan dalam mod pemantauan, jelas tidak menunjukkan tindakan anda (sebagai contoh, yang sama pengimbas virus biasa). Bagi ancaman yang menembusi ke dalam sistem komputer, mereka tidak hanya tergantung selama-lamanya dalam ingatan komputer, tetapi juga mewujudkan beregu mereka sendiri. Oleh itu, salinan virus dan sentiasa memantau sistem dan bergerak di atasnya, yang menjadikan ia sukar untuk mencari mereka. Beberapa ancaman juga boleh menukar struktur sendiri, dan pengesanan mereka atas dasar kaedah konvensional adalah mustahil. Tidak lama kemudian, lihat bagaimana untuk menghilangkan virus jenis ini. Dalam pada itu, memberi tumpuan kepada jenis utama ancaman pemastautin.

DOS-ancaman

Pada mulanya, apabila Windows- atau UNIX seperti sistem masih tidak wujud, dan komunikasi pengguna dengan komputer adalah pada tahap arahan, terdapat "OS» DOS, cukup lama untuk berpegang puncak populariti.

Dan ia adalah untuk sistem tersebut telah ditubuhkan bukan pemastautin dan pemastautin virus, kesan yang pertama kali ditujukan kepada kerosakan sistem atau membuang fail adat dan folder.

Prinsip operasi ancaman itu, yang, kebetulan, secara meluas digunakan setakat ini, adalah bahawa mereka memintas panggilan kepada fail, dan kemudian menjangkiti CALLEE itu. Walau bagaimanapun, kebanyakan daripada ancaman yang diketahui hari ini bekerja di bawah jenis ini. Tetapi di sini adalah virus menembusi ke dalam sistem atau dengan mencipta modul pemastautin dalam bentuk seorang pemandu yang dinyatakan dalam fail konfigurasi sistem, CONFIG.SYS, atau melalui penggunaan fungsi-fungsi khas untuk mengesan KEEP sampukan.

Keadaan ini lebih teruk dalam kes apabila virus memori pemastautin jenis ini digunakan untuk peruntukan tempat ingatan sistem. Keadaan ini adalah seperti yang virus yang pertama "memotong" sekeping memori, kemudian menandakan kawasan ini sebagai diduduki, kemudian menyimpan salinan sendiri itu. Apa yang paling menyedihkan, terdapat kes-kes di mana salinan berada di dalam memori video, dan di kawasan yang dikhaskan untuk papan klip dan jadual vektor sampukan, dan DOS kawasan operasi.

Semua ini menjadikan salinan ancaman virus yang begitu gigih yang mereka, tidak seperti virus bukan pemastautin yang berjalan sehingga melarikan sesuatu program atau mengendalikan fungsi sistem, boleh diaktifkan lagi walaupun selepas reboot. Di samping itu, semasa mengakses objek yang dijangkiti virus itu mampu untuk membuat salinan anda sendiri, walaupun dalam ingatan. Hasilnya - segera terhenti komputer. Seperti yang jelas, rawatan virus jenis ini mesti dijalankan dengan bantuan pengimbas khas, dan ia adalah wajar tidak bergerak, dan mudah alih atau mereka yang mampu untuk boot dari pemacu optik atau USB-drive. Tetapi lebih kepada yang kemudian.

boot ancaman

virus boot menembusi ke dalam sistem dengan kaedah yang sama. Itu hanya mereka berkelakuan, apa yang dipanggil, halus, pertama "makan" sekeping memori sistem (biasanya 1 KB, tetapi kadang-kadang angka ini boleh mencapai maksimum 30 KB), dan kemudian menetapkan kod sendiri dalam bentuk salinan, dan kemudian mula memerlukan reboot. Ia penuh dengan kesan-kesan negatif, kerana selepas memulakan semula virus mengembalikan memori dikurangkan kepada saiz asalnya, dan satu salinan adalah di luar memori sistem.

Selain gangguan pengesanan virus itu dapat menetapkan kod mereka sendiri dalam sektor but (rekod MBR). Kurang kerap digunakan memintas BIOS dan DOS, dan virus diri mereka dimuatkan sekali, tanpa memeriksa salinan mereka sendiri.

Virus dalam Windows

Dengan adanya pembangunan virus Windows-sistem telah mencapai tahap yang baru, malangnya. Hari ini ia adalah mana-mana versi Windows dianggap sistem yang paling mudah terjejas, walaupun usaha-usaha yang dibuat oleh pakar-pakar Microsoft dalam pembangunan modul keselamatan.

Virus direka pada Windows, kerja-kerja yang sama prinsip kepada DOS mengancam, satu-satunya cara untuk menembusi komputer ada banyak lagi. Yang paling biasa adalah tiga utama, yang dalam virus yang boleh menetapkan sistem kod sendiri:

• Pendaftaran virus sebagai aplikasi sedang berjalan;
• peruntukan satu blok ingatan dan menulis kepada salinan itu sendiri;
• bekerja dalam sistem di bawah nama atau menyamar pemandu VxD bawah pemandu Windows NT.

fail yang dijangkiti atau kawasan memori sistem, pada dasarnya, boleh diubati dengan kaedah konvensional, yang digunakan dalam pengimbas anti-virus (virus topeng pengesanan, perbandingan dengan pangkalan data tandatangan dan sebagainya. D.). Walau bagaimanapun, jika digunakan dengan program percuma bersahaja, mereka tidak boleh mengenalpasti virus, dan kadang-kadang memberikan positif palsu. Oleh itu, rasuk menggunakan alat mudah alih seperti "Doktor Web" (khususnya, Dr. Web CureIt!) Atau produk "Kaspersky Lab". Walau bagaimanapun, hari ini anda boleh mencari banyak peralatan jenis ini.

virus makro

Sebelum kita adalah satu lagi pelbagai ancaman. Nama berasal dari perkataan "makro", iaitu applet laku, atau add yang digunakan di beberapa editor. Ia tidak hairanlah bahawa pelancaran virus yang berlaku pada permulaan program ini (Word, Excel, dan sebagainya. D.), Pembukaan dokumen pejabat, mencetaknya, memanggil perkara menu, dan sebagainya. N.

ancaman tersebut dalam bentuk makro sistem disimpan dalam memori untuk seluruh editor masa yang berjalan. Tetapi secara umum, jika kita mempertimbangkan persoalan bagaimana untuk menghilangkan virus jenis ini, penyelesaian adalah agak mudah. Dalam beberapa kes, ia membantu walaupun Disable Add-ons biasa atau makro dalam editor, serta pengaktifan applet perlindungan antivirus, apatah antivirus imbasan sistem pakej cepat biasa.

Virus atas dasar teknologi "stealth"

Sekarang lihat pada virus menyamar, maka tidak menghairankan bahawa mereka mendapat nama mereka dari pesawat stealth.

Intipati fungsi mereka terdiri tepat dalam hakikat bahawa mereka menonjolkan diri sebagai komponen sistem dan menentukan kaedah konvensional mereka kadang-kadang boleh menjadi cukup keras. Antara ancaman-ancaman ini boleh didapati dan virus makro, dan boot ancaman, dan DOS-virus. Adalah dipercayai bahawa untuk Windows virus stealth belum dibangunkan, walaupun ramai pakar berpendapat bahawa ia hanya menunggu masa.

jenis fail

Secara umum, semua virus boleh dipanggil fail, kerana mereka entah bagaimana menjejaskan sistem fail dan bertindak ke atas fail, atau menjangkiti mereka dengan kod sendiri, atau menyulitkan, atau membuat tidak boleh diakses kerana rasuah atau penghapusan.

Contoh yang paling mudah adalah coders virus moden (lintah), dan terkenal I Love You. Mereka menghasilkan anti-virus tidak adalah sesuatu yang sukar tanpa kunci rasshifrovochnyh khas, dan selalunya ia adalah mustahil untuk dilakukan. Walaupun pemaju terkemuka bagi perisian anti-virus boleh berbuat apa-apa mengangkat bahu, kerana, tidak seperti sistem penyulitan AES256 hari ini, maka menggunakan teknologi AES1024. Anda memahami bahawa dalam transkrip mungkin mengambil masa lebih daripada satu dekad, berdasarkan jumlah mungkin kombinasi kekunci.

ancaman polimorfik

Akhirnya, satu lagi pelbagai ancaman, yang menggunakan fenomena polymorphism. Apa yang ia? Hakikat bahawa virus sentiasa berubah kod anda sendiri, dan ini dilakukan atas dasar utama yang dipanggil terapung.

Dalam erti kata lain, topeng untuk mengenalpasti ancaman tidak mungkin, kerana, seperti yang dilihat, berbeza-beza bukan sahaja oleh corak berdasarkan kod, tetapi juga merupakan kunci untuk penyahkodan. dekoder khas polimorfik (jurutranskrip) digunakan untuk menangani masalah tersebut. Walau bagaimanapun, sebagai menunjukkan amalan, mereka mampu untuk mentafsirkan hanya virus yang paling mudah. algoritma yang lebih canggih, malangnya, dalam kebanyakan kes, kesannya tidak boleh. Kami juga tidak mengatakan bahawa perubahan kod virus itu disertakan dengan penciptaan salinan panjang dikurangkan mereka, yang mungkin berbeza daripada yang asal adalah sangat penting.

Bagaimana untuk berurusan dengan ancaman pemastautin

Akhir sekali, kita beralih kepada isu memerangi virus pemastautin dan melindungi sistem komputer apa-apa kerumitan. Cara paling mudah untuk naungan boleh dianggap pemasangan pakej anti-virus sepenuh masa, itu hanya penggunaan yang terbaik perisian tidak bebas, tetapi sekurang-kurangnya shareware (percubaan) versi daripada pemaju seperti "Doctor Web", "Kaspersky Anti-Virus", ESET NOD32 dan program Jenis keselamatan Smart, jika pengguna adalah sentiasa bekerjasama dengan Internet.

Walau bagaimanapun, dalam kes ini, tiada siapa yang terkecuali daripada ancaman yang tidak menembusi ke komputer. Jika ya, keadaan ini telah berlaku, pertama perlu menggunakan pengimbas mudah alih, dan ia adalah lebih baik untuk menggunakan utiliti cakera Rescue Disk. Ia boleh digunakan untuk boot antara muka program dan mengimbas sebelum permulaan sistem operasi utama (virus boleh membuat dan menyimpan salinan mereka sendiri dalam sistem, dan juga dalam ingatan).

Dan sekali lagi, ia tidak digalakkan untuk menggunakan perisian seperti SpyHunter, dan kemudian dari pakej dan komponen yang berkaitan dengannya untuk menghilangkan pengguna yang belum tahu akan bermasalah. Dan, sudah tentu, jangan hanya memadam fail yang dijangkiti atau cuba untuk memformat cakera keras. Lebih baik untuk meninggalkan rawatan profesional produk anti-virus.

kesimpulan

Ia masih menambah bahawa di atas dianggap hanya aspek-aspek utama yang berkaitan dengan virus pemastautin dan kaedah untuk memerangi mereka. Lagipun, jika kita melihat ancaman komputer, jadi untuk bercakap, dari satu segi global, setiap hari ada sejumlah besar daripada mereka, pemaju ubat hanya tidak mempunyai masa untuk tampil dengan kaedah baru berurusan dengan kesukaran itu.