Resident firussen: wat is it en hoe te fernielen. kompjûter firussen

De measte brûkers op syn minst ien kear yn syn libben konfrontearre mei it begryp kompjûter firussen. Lykwols net folle witte, dat de yndieling yn 'e basis fan bedrigings bestiet út twa grutte kategoryen: non-ynwenner en bewenner firussen. Nim no it twadde learjier, omdat dat syn fertsjintwurdigers binne de meast gefaarlike, en soms undeletable sels troch format de skiif of partition.

Wat is in ûnthâld-resident firussen?

Dus, wat is it deal brûker? Te ferienfâldigjen de útlis fan de struktuer en de útgongspunten fan wurking fan sokke firussen te begjinnen is te rjochtsjen op it ferklearjen fan wat de ynwenner programma yn it algemien.

Oannomd wurdt dat foar dit soarte fan software befettet applikaasjes dy't rinne hieltyd yn it monitoaring-modus, útdruklik net sjen litten fan jo aksjes (bygelyks, deselde reguliere firusscanners). As foar de bedrigings dy't trochkringe yn it kompjûtersysteem, sy net allinne hingje permanint yn it ûnthâld fan de kompjûter, mar ek meitsje har eigen dûbeljen. Sa, kopyen fan it firus en wurde hieltyd tafersjoch op it systeem en bewege op him, dat makket it dreech om te finen se. Guon bedrigingen kinne ek feroarje syn eigen struktuer, en harren sinjalearring oan 'e basis fan konvinsjonele metoaden sa goed as ûnmooglik. In bytsje letter, efkes oan hoe te ûntdwaan fan firussen fan dit type. Yn de tuskentiid, rjochtsje op de wichtichste rassen fan resident bedrigings.

DOS-bedriging

Yn it earstoan, doe't de Windows- of UNIX-eftige systemen noch net besteane, en de brûker kommunikaasje mei de kompjûter is op de ynstruksje nivo, wie der in "Oses» DOS, lang genôch te hâlden op it hichtepunt fan de populariteit.

En it is foar sokke systemen waarden opsetten net-ynwenner en bewenner firussen, it effekt fan dat waard earst rjochtsje oan it malfunction fan it systeem of fuortsmite oanpaste triemmen en mappen.

It prinsipe fan de wurking fan sokke bedrigings, dêr't, tusken twa heakjes, wurdt in soad brûkt safier, is dat se ûnderskeppen skilje lit nei triemmen, en dan infect de Callee. Dochs is it grutste fan 'e bekende bedrigings fan hjoed wurket ûnder dit type. Mar hjir is it firussen trochkringe yn it systeem of troch it meitsjen fan in bewenner module yn de foarm fan in bestjoerder dy't opjûn is yn it systeem konfiguraasje triem, de Config.sys, of troch it brûken fan spesjale funksjes foar folgjen KEEP ynterrumpearret.

De situaasje is slimmer yn it gefal as der in ûnthâld-resident firussen fan dit type wurdt brûkt foar de tawizing fan in oerflak fan systeem ûnthâld. De situaasje is sa dat de earste firus "snijt ': in stik frije ûnthâld, dan markearret dit gebiet as beset, dan hâldt syn eigen eksimplaar derfan. Wat is meast tryst, der binne gefallen dat eksimplaren binne yn video ûnthâld, en yn 'e gebieten reservearre foar it klamboerd en de interrupt vector tafel, en DOS operating gebieten.

Dit alles makket kopyen fan it firus bedriging is sa fêsthaldend, dat se, oars as de net-resident firussen dy't rinne oant útfieren fan in bepaald programma of Betriebssystem funksjes, kin aktivearre wurde wer sels nei herstarten. Boppedat, as tagong ta it besmette foarwerp it firus is by steat om te meitsjen dyn eigen kopy, ek yn it ûnthâld. As resultaat - instant halt de kompjûter. As is dúdlik, de behanneling fan firussen fan dit type moat wurde útfierd mei help fan bysûndere scanners, en dat it winsklik is net Stationary, en draachbere of harren dy't by steat to boot út de optyske skiif of USB-drive. Mar mear oer dat letter.

Boot bedriging

Boot firussen kringen yn it systeem troch in fergelykbere metoade. Dat is krekt se gedrage, wat wol neamd is, sêft, earst "itende" in stikje systeem ûnthâld (meastal 1 KB, mar soms dit sifer kin berikke in maksimum fan 30 KB), en dan Prescribing oan syn eigen koade yn de foarm fan in kopy, en dan begjint te easkje in herstarten. It is fraught mei negative gefolgen, want nei werstart de firus jout it redusearre ûnthâld oan syn oarspronklike grutte, en in eksimplaar is bûten it systeem ûnthâld.

Neist tracking ûnderbrekkings sokke firussen by steat binne om foarskriuwe harren eigen koade yn de startsektor (MBR record). Minder faak brûkte BIOS intercepts en de DOS, en de firussen sels wurde laden ienris, sûnder kontrolearje foar harren eigen eksimplaren.

Firussen yn Windows

Mei de komst fan de firus ûntwikkeling fan Windows-systemen hawwe berikt in nije nivo, spitigernôch. Hjoed is it eltse ferzje fan Windows wurdt beskôge as de meast kwetsbere systeem, nettsjinsteande de ynspannings makke troch Microsoft saakkundigen yn de ûntwikkeling fan de feiligens modules.

Firussen ûntwurpen op Windows, wurket op it prinsipe fergelykber mei de DOS-bedrigings, allinnich manier te kringen de kompjûter is der folle mear. De meast foarkommende binne trije wichtichste, dy't yn 'e firus meie foarskriuwe syn eigen koade systeem:

• Registraasje fan firus as de rinnende applikaasjes;
• de tawizing fan in blok fan ûnthâld en skriuw oan dat syn eigen eksimplaren;
• wurkje yn it systeem ûnder it mom of fermomming VxD drivers ûnder Windows NT bestjoerder.

Besmetten triemmen of systeem ûnthâld gebiet, yn prinsipe, kin genêzen troch konvinsjonele metoaden, dy't brûkt wurde yn 'e anty-firusscanners (firus detection masker, ferliking mei databases hântekeningenkolleksje ensafuorthinne. D.). Lykwols, as brûkte pretentieloze frije programma, se kinne net werkenne it firus, en soms sels jouwe in falske posityf. Dêrom, de bondel brûke draachbere ark lykas "Dokter Web" (yn it bysûnder, Dr. Web CureIt!) Of produkten "Kaspersky Lab". Mar hjoed kinne jo fine in protte ark fan dit type.

Macro firussen

Foar ús is noch in ferskaat oan bedrigings. De namme komt fan it wurd "makro", dat wol sizze in útfierber applet, of de add brûkt wurdt yn guon redakteuren. It is gjin wûnder dat de lansearring fan it firus plakfynt oan it begjin fan it programma (Wurd, Excel, ensafuorthinne. D.), De iepening fan in kantoar dokumint, printsjen, neam it menu items, ensafuorthinne. N.

Sokke bedrigings yn de foarm fan systeem makro wurde opslein yn it ûnthâld foar it hiele running tiid bewurker. Mar yn it algemien, as wy beskôgje de fraach hoe't en reitsje de firussen fan dit type, de oplossing is hiel simpel. Yn guon gefallen, it helpt ek de gebrûklike útskeakelje tafoegingsbehearder of makro yn de editor, en ek de aktivearring fan antivirus beskerming applets, net te ferjitten de gebrûklike fluchhifking antivirus pakketten systeem.

Firussen oan 'e basis fan "Stealth" technology

No sjoch op de ferklaaid firussen, it is gjin wûnder dat se krigen harren namme oan in Stealth fleantúch.

De essinsje fan harren funksjonearjen bestiet krekt yn it feit dat se presintearje harsels as in systeem komponint en bepale harren konvinsjonele metoaden kinne soms wêze hurd genôch. Under dizze bedrigingen te finen en makro firussen, en boot de driging, en DOS-firussen. Oannomd wurdt dat foar Windows Stealth firussen noch net ûntwikkele, hoewol't in protte saakkundigen stelle dat it is mar in kwestje fan tiid.

file varieties

Yn it algemien, alle firussen kinne neamd wurde in triem, omdat se een of andere manier ynfloed op de triem systeem en hannelje op triemmen, of infecting se mei in eigen koade, of fersiferje, of it meitsjen ûntagonklik klinkt as gefolch fan korrupsje of wiskjen.

De ienfâldichste foarbyld is de moderne coders firussen (bloedsûgers), en net te fertrouwen I Love You. Se produsearje anti-firus is net wat dat is dreech sûnder spesjale rasshifrovochnyh toetsen, en faak is it ûnmooglik om te dwaan. Sels de foaroansteande ûntwikkelers fan anty-firus sêftguod kin neat shrug, omdat, oars as hjoed AES256 fersifering systeem, dan brûkt AES1024 technology. Jo begripe dat yn it transkript kin nimme mear as tsien jier, basearre op it oantal mooglike kaai kombinaasjes.

polymorphic bedrigings

Ta beslút, in oare ferskaat fan bedrigings, dy't brûke it fenomeen polymorphism. Wat is it? It feit dat firussen wurde hieltyd feroaret dyn eigen koade, en dit wurdt dien op grûn fan 'e saneamde driuwend kaai.

Mei oare wurden, in masker te identifisearjen de bedriging is net mooglik, om't, sa't sjoen, ferskilt net allinne troch syn patroan basearre op de koade, mar ek kaai ta dekodearjen. polymorphic spesjale decoders (transcribers) wurde brûkt om te gean mei sokke problemen. Lykwols, as praktyk shows, binne se by steat om ûntsiferje allinne de meast ienfâldige firussen. Mear fernuftige algoritmen, spitigernôch, yn de measte gefallen, harren ynfloed kin net wêze. Wy moatte ek sizze dat de feroaring fan it firus koade wurdt begelaat troch it skeppen fan kopyen fan harren fermindere lingte, dat kinne ôfwike fan it orizjineel is tige wichtich.

Hoe om te gean mei resident bedrigings

Ta beslút, wy keare ta de útjefte fan it tsjingean bewenner firussen en beskermjen kompjûter systemen fan in kompleksiteit. De maklikste manier om patronaazje kin beskôge wurde de ynstallaasje fan in folsleine-time anty-firus pakket, dat is allinnich gebrûk is best net frije software, mar op syn minst Shareware (proef) ferzje fan ûntwikkelers lykas "Doctor Web", "Kaspersky Anti-Virus", de Eset NOD32 en Smart Security type programma, as de brûker is hieltyd dwaande mei it ynternet.

Lykwols, yn dit gefal, gjinien is immun fan dy driging net trochkringe ta de kompjûter. As dat sa is, dizze situaasje is bart, moat earst brûke draachbere scanners, en it is better te brûken skiif nutsfoarsjennings Rescue skiif. Se kinne brûkt wurde to boot it programma ynterface en scannen foar it begjin fan 'e wichtichste bestjoeringssysteem (firussen kinne meitsje en opslaan harren eigen eksimplaren yn it systeem, en sels yn-ûnthâld).

En wer, it is net oan te rieden te brûken software lykas SpyHunter, en dan letter út it pakket mei syn ûnderhearrige komponinten te ûntdwaan fan 'e uninitiated brûker soe wêze problematysk. En, fansels, net samar fuortsmite it besmette triemmen of besykje foar de opmaak fan de hurde skiif. Better te ferlitte de behanneling profesjonele anti-firus produkten.

konklúzje

It bliuwt te heakjen dat de boppesteande beskôge allinnich de wichtichste aspekten ferbân mei resident firussen en metoaden foar it bestriden fan harren. Neidat alles, as wy sjogge nei kompjûter bedrigings, sa to sizzen, yn in globale sin, eltse dei is der in grut tal fan harren, ien fan de ûntwikkelders remedies gewoan hawwe gjin tiid om te kommen mei nije metoaden fan omgean mei sokke tsjinslach.