Resident virus: vad är det och hur man förstöra. Datavirus virus~~POS=HEADCOMP

De flesta användare åtminstone en gång i sitt liv inför begreppet datavirus. Men inte många vet att klassificeringen i grunden hot består av två stora kategorier: icke bosatta och bosatta virus. Låt oss betrakta andra klass, eftersom att dess företrädare är de farligaste, och ibland outplånliga även genom att formatera disken eller partition.

Vad är ett minne bosatt virus?

Så, vad är problemet användare? För att förenkla förklaringen av strukturen och principerna för drift av sådana virus att börja är att fokusera på att förklara vad den inhemska program i allmänhet.

Man tror att den här typen av program innehåller program som körs kontinuerligt i övervakningsläge, uttryckligen inte visa dina åtgärder (till exempel samma vanliga virusskydd). När det gäller de hot som tränger in i datorsystemet, de inte bara hänga permanent i datorns minne, men också skapa sina egna dubbel. Således är kopior av viruset och ständigt övervaka systemet och flytta på den, vilket gör det svårt att hitta dem. Vissa hot kan också ändra sin egen struktur, och deras upptäckt på grundval av konventionella metoder är praktiskt taget omöjligt. Lite senare, en titt på hur man kan bli av virus av denna typ. Under tiden fokusera på de viktigaste sorterna av inhemska hot.

DOS-hot

Inledningsvis när Windows- eller UNIX-liknande system fortfarande inte existerade, och användaren kommunikation med datorn är på instruktionsnivå, det var en "operativsystem» DOS, tillräckligt länge för att hålla på toppen av popularitet.

Och det är för sådana system sattes upp inte är bosatta och bosatta virus, vars effekt först riktade till fel i systemet eller ta bort egna filer och mappar.

Principen för drift av sådana hot, som för övrigt är allmänt används hittills är att de avlyssna samtal till filer, och sedan infektera den uppringda. Men de flesta av de kända hot i dag arbetar under denna typ. Men här är virus tränga in i systemet eller genom att skapa en inhemsk modul i form av en förare som anges i systemkonfigurationsfilen, Config.sys, eller genom användning av specialfunktioner för spårning HÅLL avbrott.

Situationen är värre i det fall när en minnesresidenta virus av denna typ används för tilldelning av ett område med systemminne. Situationen är sådan att det första viruset "skär bort" en bit ledigt minne, då markerar detta område som ockuperat, då behåller sin egen kopia av det. Vad är mest ledsen, det finns fall där kopior i videominne, och i de områden som är reserverade för urklipp och avbrottsvektortabellen, och DOS verksamhetsområden.

Allt detta gör kopior av virus hot är så envisa att de, till skillnad från de icke-hemmahörande virus som löper fram till att köra vissa program eller operativsystem funktioner kan aktiveras igen även efter omstart. Dessutom, när åtkomst till infekterade objektet viruset kan skapa en egen kopia, även i minnet. Som ett resultat - direkt stopp datorn. Som framgår måste behandlingen av virus av denna typ utföras med hjälp av särskilda skannrar, och det är önskvärt att inte stillastående, och portabel eller de som har möjlighet att starta från den optiska enheten eller USB-enhet. Men mer om det senare.

boot hot

Boot virus tränger in i systemet genom en liknande metod. Det är bara att de beter sig, vad som kallas, fint, först "äta" en bit av systemminne (typiskt 1 KB, men ibland denna siffra kan uppgå till högst 30 KB) och sedan förskrivning till sin egen kod i form av en kopia, och sedan börjar kräva en omstart. Det är förenat med negativa konsekvenser, eftersom efter starta om viruset åter den minskade minne till sin ursprungliga storlek, och en kopia är utanför systemminnet.

Förutom spåra avbrott sådana virus kan ordinera sin egen kod i startsektorn (MBR rekord). Mindre ofta använda BIOS fångar och DOS, och virus själva laddas en gång, utan att kontrollera för sina egna kopior.

Virus i Windows

Med tillkomsten av virus utvecklingen av Windows-system har nått en ny nivå, tyvärr. Idag är det någon version av Windows anses vara den mest sårbara systemet, trots de ansträngningar som gjorts av Microsofts experter i utvecklingen av säkerhetsmoduler.

Virus är utformade på Windows, fungerar enligt principen liknar DOS hotande, enda sättet att penetrera datorn det finns mycket mer. De vanligaste är tre huvudsakliga, vilket i viruset kan ordinera ett eget kodsystem:

• Registrering av virus som för närvarande kör;
• tilldelningen av ett block av minne och skriva till den egna kopior;
• arbeta i systemet under sken eller förklädnad VxD drivrutiner under Windows NT-drivrutinen.

Infekterade filer eller systemminnesområde, i princip, kan härdas genom konventionella metoder, som används i de anti-virus scanners (virusdetektion mask, jämförelse med databaser av signaturer och så vidare. D.). Men om de används anspråkslösa fria program, kan de inte identifiera viruset, och ibland till och med ge ett falskt positivt. Därför strålen använder bärbara verktyg som "Doctor Web" (i synnerhet, Dr. Web CureIt!) Eller produkter "Kaspersky Lab". Men i dag kan du hitta en hel del verktyg av denna typ.

makrovirus

Framför oss är en annan sort av hot. Namnet kommer från ordet "macro", det vill säga en körbar applet, eller tillägget används i vissa redaktörer. Det är inte konstigt att lanseringen av viruset sker i början av programmet (Word, Excel, och så vidare. D.) Öppnandet av ett Office-dokument, skriva ut det, ring menyalternativ, och så vidare. N.

Sådana hot i form av system makron lagras i minnet under hela speltiden redaktör. Men i allmänhet, om vi betraktar frågan om hur man kan bli av virus av denna typ, är lösningen ganska enkel. I vissa fall hjälper det även de vanliga inaktivera tillägg eller makron i editorn, samt aktivering av virusskydd applets, för att inte nämna den vanliga snabb skanning antivirus paket system.

Virus på grundval av "stealth" teknik

Nu tittar på förklädda virus är det inte konstigt att de fick sitt namn från en stealth flygplan.

Kärnan i deras funktion består just i det faktum att de presenterar sig som en systemkomponent och bestämma deras konventionella metoder kan ibland vara svårt nog. Bland dessa hot kan hittas och makrovirus, och starta om hot och DOS-virus. Man tror att för Windows stealth virus har ännu inte utvecklats, även om många experter hävdar att det bara är en tidsfråga.

fil sorter

I allmänhet kan alla virus kallas en fil eftersom de på något sätt påverkar filsystemet och agera på filer eller infektera dem med sin egen kod, eller kryptering, eller göra otillgängliga på grund av korruption eller radering.

Det enklaste exemplet är den moderna kodare virus (iglar) och ökända jag älskar dig. De producerar anti-virus är inte något som är svårt utan speciella rasshifrovochnyh nycklar, och ofta är det omöjligt att göra. Även de ledande utvecklarna av antivirusprogram kan göra något axelryckning, eftersom den till skillnad idag AES256 krypteringssystem används sedan AES1024 teknik. Du förstår att i utskrift kan ta mer än ett decennium, baserat på antalet möjliga nyckelkombinationer.

polymorfa hot

Slutligen en annan sort av hot, som använder fenomenet polymorfism. Vad är det? Det faktum att virus förändras ständigt din egen kod, och detta sker på grundval av den så kallade flytande nyckel.

Med andra ord är det inte möjligt en mask för att identifiera hot, eftersom sett varierar inte bara av dess mönster baserat på koden, men också nyckeln till avkodning. polymorfa speciella avkodare (Transcribers) används för att hantera sådana problem. Men som det visat sig, kan de endast dechiffrera de mest enkla virus. Mer sofistikerade algoritmer, tyvärr, i de flesta fall, deras inverkan kan inte vara. Vi bör också säga att förändringen av viruskoden åtföljs av skapandet av kopior av deras reducerade längd, som kan skilja sig från originalet är mycket viktigt.

Hur kan man hantera med inhemska hot

Till sist vänder vi oss till frågan om att bekämpa bosatta virus och skydda datorsystem av komplexitet. Det enklaste sättet att beskydd kan anses installation av en heltids anti-virus paket, det är bara användning är bäst att inte fri programvara, men åtminstone shareware (trial) version från utvecklare som "Doctor Web", "Kaspersky Anti-Virus", ESET NOD32 och Smart Security programtypen, om användaren är ständigt arbeta med Internet.

Men i detta fall är ingen immun mot det hotet inte tränger till datorn. Om så är fallet, har denna situation inträffat, bör först använda bärbara scanners, och det är bättre att använda diskverktyg räddningsskiva. De kan användas för att starta programmets gränssnitt och skanning innan huvud operativsystem (virus kan skapa och lagra sina egna kopior i systemet, och även i minnet).

Och återigen är det inte rekommenderat att använda program som SpyHunter, och sedan ur förpackningen och dess tillhörande komponenter för att bli av med den oinvigde användaren skulle vara problematiskt. Och, naturligtvis, inte bara ta bort infekterade filer eller försöka formatera hårddisken. Bättre att lämna behandlings professionella antivirusprodukter.

slutsats

Det återstår att tillägga att ovanstående anses endast de viktigaste aspekterna med anknytning till inhemska virus och metoder för att bekämpa dem. När allt kommer omkring, om vi tittar på dator hot, så att säga, i en global mening, varje dag finns det ett stort antal av dem, utvecklarna åtgärder helt enkelt inte har tid att komma med nya metoder för att hantera en sådan motgång.