Resident virus: hva er det og hvordan å ødelegge. datavirus

De fleste brukerne minst én gang i sitt liv møtt med begrepet datavirus. Men ikke mange vet at klassifiseringen i grunnlaget for trusler består av to store kategorier: ikke-resident og bosatt virus. La oss se på andre klasse, fordi at dets representanter er de farligste, og noen ganger undeletable selv ved å formatere disken eller partisjonen.

Hva er et minne bosatt virus?

Så, hva er greia bruker? For å forenkle forklaringen av strukturen og prinsippene for drift av slike virus å begynne er å fokusere på å forklare hva bosatt programmet generelt.

Det antas at for denne typen programvare inneholder programmer som kjører kontinuerlig i overvåkingsmodus, eksplisitt ikke viser dine handlinger (for eksempel de samme vanlige virusprogrammer). Som for de truslene som trenge inn i datasystemet, har de ikke bare henge fast i minnet på datamaskinen, men også lage sine egne dobles. Dermed er kopier av viruset og konstant overvåking systemet og flytte på den, noe som gjør det vanskelig å finne dem. Noen trusler kan også endre sin egen struktur, og deres deteksjon på grunnlag av konvensjonelle metoder er nesten umulig. Litt senere, en titt på hvordan å kvitte seg med virus av denne typen. I mellomtiden fokusere på de viktigste varianter av fastboende trusler.

DOS-trussel

I utgangspunktet når Windows- eller UNIX-lignende systemer fortsatt ikke eksisterte, og brukeren kommunikasjon med datamaskinen er på instruksjon nivå, det var en "operativsystemer» DOS, lenge nok til å holde på toppen av popularitet.

Og det er for slike systemer ble satt opp utenlandske og bosatt virus, effekten av som først ble rettet mot feil på systemet eller fjerne tilpassede filer og mapper.

Prinsippet om drift av slike trusler, som for øvrig er mye brukt så langt, er at de fange opp samtaler til filer, og deretter infisere anropt. Men de fleste av de kjente trusler i dag arbeider under denne typen. Men her er virusene trenge inn i systemet, eller ved å skape en person bosatt modul i form av en driver som er angitt i systemkonfigurasjonsfilen, Config.sys, eller gjennom bruk av spesialfunksjoner for sporing KEEP avbrudd.

Situasjonen er verre i tilfelle når en minneresidente virus av denne typen benyttes for tildeling av et område på systemminnet. Situasjonen er slik at den første virus "kutter" et stykke av ledig minne, så markerer dette området som okkupert, holder deretter sin egen kopi av den. Hva er mest trist, det er tilfeller hvor kopier er i videominne, og i de områder som er reservert for utklippstavlen, og avbruddet vektor tabellen, og DOS virksomhetsområder.

Alt dette gjør kopier av viruset trusselen er så seig at de, i motsetning til de utenlandske virus som kjører til å kjøre et program eller operativsystem funksjoner kan aktiveres igjen selv etter omstart. I tillegg, når tilgang til infiserte objektet viruset er i stand til å lage din egen kopi, selv i minnet. Som et resultat - umiddelbar stans datamaskinen. Som er klart, må behandlingen av virus av denne typen skal utføres ved hjelp av spesielle skannere, og det er ønskelig ikke stasjonær og bærbar eller de som er i stand til å starte fra den optiske stasjonen eller USB-stasjonen. Men mer om det senere.

boot trussel

Boot virus trenge inn i systemet ved en lignende metode. Det er bare de oppfører seg, hva heter, delikat, første "spise" et stykke av systemminne (vanligvis 1 KB, men noen ganger dette tallet kan nå et maksimum på 30 KB), og deretter forskrivning til sin egen kode i form av en kopi, og deretter begynner å kreve en omstart. Det er fylt med negative konsekvenser, fordi etter restart viruset gjenoppretter redusert hukommelse til sin opprinnelige størrelse, og en kopi er utenfor systemminnet.

I tillegg til sporing avbrudd slike virus er i stand til å foreskrive sin egen kode i oppstartssektoren (MBR posten). Sjeldnere brukt BIOS fanger opp og DOS, og virus selv er lastet gang, uten å sjekke for sine egne kopier.

Virus i Windows

Med bruk av virus utvikling av Windows-systemer har nådd et nytt nivå, dessverre. I dag er det noen versjon av Windows regnes som den mest sårbare systemet, til tross for innsatsen gjort av Microsofts eksperter i utviklingen av sikkerhetsmoduler.

Virus utformet på Windows, fungerer på prinsippet om lik DOS truende, eneste måten å trenge inn i datamaskinen er det mye mer. De vanligste er tre hoved, som viruset kan foreskrive et eget kodesystem:

• Registrering av virus som de programmene som kjører;
• tildeling av en blokk med minne og skrive til sine egne eksemplarer;
• jobber i systemet under dekke eller forkledning VxD drivere under Windows NT-driver.

Infiserte filer eller systemlagerområde, i prinsippet, kan herdes ved konvensjonelle metoder, som anvendes i anti-virusprogrammer (viruskontroll maske, sammenlignet med databaser av signaturer og D. osv.). Men hvis det brukes upretensiøs gratis programmer, de kan ikke identifisere viruset, og noen ganger også gi en falsk positiv. Derfor strålen bruke mobilt verktøy som "Doctor Web" (særlig Dr. Web CureIt!) Eller produkter "Kaspersky Lab". Men i dag kan du finne en masse verktøy av denne typen.

makrovirus

Foran oss er en annen rekke trusler. Navnet kommer fra ordet "makro", dvs. en kjørbar applet, eller tillegget brukes i enkelte redaktører. Det er ikke rart at lanseringen av viruset oppstår ved starten av programmet (Word, Excel, og så videre. D.) Åpningen av et Office-dokument, skrive det ut, ring menyelementer, og så videre. N.

Slike trusler i form av system makroer lagres i minnet for hele kjøretid editor. Men generelt, hvis vi vurdere spørsmålet om hvordan man skal bli kvitt virus av denne typen, er løsningen ganske enkel. I noen tilfeller hjelper det enda de vanlige deaktivere tillegg eller makroer i editoren, samt aktivering av antivirusbeskyttelse applets, for ikke å nevne den vanlige rask skanning antivirus-pakker system.

Virus på grunnlag av "stealth" teknologi

Nå ser på forkledd virus, er det ikke rart at de fikk sitt navn fra et stealth-fly.

Essensen av deres funksjon, består nettopp i det faktum at de presenterer seg selv som en systemkomponent og bestemme deres konvensjonelle metoder kan noen ganger være vanskelig nok. Blant disse truslene kan bli funnet og makrovirus, og starte opp trusselen, og DOS-virus. Det antas at for Windows stealth virus ennå ikke er utviklet, selv om mange eksperter hevder at det er bare et spørsmål om tid.

fil varianter

Generelt kan alle virus kalles en fil, fordi de på en måte påvirker filsystemet og handle på filer, eller infisere dem med sin egen kode eller kryptere, eller gjør utilgjengelige på grunn av korrupsjon eller sletting.

Det enkleste eksemplet er de moderne programmerere virus (igler), og beryktede jeg elsker deg. De produserer anti-virus er ikke noe som er vanskelig uten spesielle rasshifrovochnyh nøkler, og ofte er det umulig å gjøre. Selv de ledende utviklere av anti-virus programvare kan ikke gjøre noe mens, fordi, i motsetning til i dag AES256 krypteringssystem, deretter brukt AES1024 teknologi. Du forstår at i karakterutskriften kan ta mer enn et tiår, basert på antall mulige tastekombinasjoner.

polymorfe trusler

Til slutt, en annen rekke trusler, som bruker fenomenet polymorfisme. Hva er det? Det faktum at virus er i stadig endring din egen kode, og dette er gjort på grunnlag av den såkalte flytende tasten.

Med andre ord, er en maske for å identifisere trusselen ikke mulig, siden, sett, varierer ikke bare av sin mønster basert på koden, men også nøkkelen til dekoding. polymorfe spesielle dekodere (transcribers) er vant til å håndtere slike problemer. Men som praksis viser, er de i stand til å dechiffrere bare de mest enkle virus. Mer avanserte algoritmer, dessverre, i de fleste tilfeller, deres innflytelse kan ikke være. Vi må også si at endringen av viruset kode er ledsaget av etableringen av kopier av deres redusert lengde, som kan avvike fra originalen er svært viktig.

Hvordan håndtere bosatt trusler

Til slutt, slår vi til spørsmålet om bekjempelse bosatt virus og beskytte datasystemer av kompleksitet. Den enkleste måten å beskyttelse kan betraktes installasjon av en full-time anti-virus pakke, det er bare bruken er best å ikke fri programvare, men minst shareware (prøve) versjon fra utviklere som "Doctor Web", "Kaspersky Anti-Virus", ESET NOD32 og Smart Security typen program, hvis brukeren arbeider kontinuerlig med Internett.

Men i dette tilfellet, ingen er immune mot denne trusselen ikke trenge til datamaskinen. Hvis ja, er denne situasjonen oppstår, bør først bruke bærbare skannere, og det er bedre å bruke diskverktøy Rescue Disk. De kan brukes til å starte programmet grensesnittet og skanning før starten av hovedoperativsystemet (virus kan lage og lagre sine egne kopier i systemet, og selv i-minne).

Og igjen, er det ikke anbefalt å bruke programvare som SpyHunter, og senere fra pakken og tilhørende komponenter for å bli kvitt de uinnvidde brukeren vil være problematisk. Og, selvfølgelig, ikke bare slette de infiserte filene eller prøve å formatere harddisken. Bedre å forlate behandlings profesjonell anti-virus produkter.

konklusjon

Det gjenstår å legge til at de ovennevnte anses bare de viktigste aspektene knyttet til bosatt virus og metoder for å bekjempe dem. Tross alt, hvis vi ser på datamaskinen trusler, så å si, i en global forstand, hver dag er det et stort antall av dem, utviklerne rettsmidler rett og slett ikke har tid til å komme opp med nye metoder for å håndtere en slik motgang.