Resident virussen: wat is het en hoe te vernietigen. computervirussen

De meeste gebruikers ten minste een keer in zijn leven te maken met het concept van de computer virussen. Echter, niet veel weten dat de indeling in de basis bedreigingen bestaat uit twee grote categorieën: niet-ingezeten en ingezeten virussen. Laten we eens kijken naar de tweede klas, omdat dat haar vertegenwoordigers zijn de meest gevaarlijke en soms undeletable zelfs door het formatteren van de schijf of partitie.

Wat is een geheugen-resident virussen?

Dus, wat is de deal gebruiker? Om de uitleg van de structuur en de principes van de werking van dergelijke virussen te vereenvoudigen om te beginnen is om zich te concentreren op uit te leggen wat de bewoner programma in het algemeen.

Er wordt aangenomen dat voor dit type software bevat applicaties die continu in het toezicht op mode, uitdrukkelijk niet tonen van uw acties (bijvoorbeeld dezelfde reguliere virusscanners). Wat betreft de bedreigingen die doordringen in het computersysteem, ze niet alleen permanent hangen in het geheugen van de computer, maar ook hun eigen verdubbelt creëren. Zo, kopieën van het virus en worden voortdurend toezicht op het systeem en bewegen op, waardoor het moeilijk is om ze te vinden. Sommige bedreigingen kunnen ook een eigen structuur te veranderen, en de detectie ervan op basis van de conventionele methoden is vrijwel onmogelijk. Even later, een blik op hoe zich te ontdoen van virussen van dit type. In de tussentijd, zich richten op de belangrijkste variëteiten van bedreigingen bewoner.

DOS-dreiging

Aanvankelijk, toen de Windows- of UNIX-achtige systemen nog niet bestond, en de gebruiker de communicatie met de computer is in opdracht niveau, was er een "besturingssystemen» DOS, lang genoeg om vast te houden op het hoogtepunt van de populariteit.

En het is voor dergelijke systemen zijn opgezet niet-ingezetene en aanwezige virussen, waarvan het effect voor het eerst werd gericht aan het slecht functioneren van het systeem of te verwijderen aangepaste bestanden en mappen.

Het principe van de werking van dergelijke bedreigingen, die overigens, wordt op grote schaal tot nu toe gebruikte, is dat ze onderscheppen oproepen tot bestanden, en vervolgens infecteren de callee. Echter, de meeste van de bekende bedreigingen van vandaag werkt onder dit type. Maar hier is het virus door te dringen in het systeem of door het creëren van een inwoner module in de vorm van een bestuurder die is opgegeven in het systeem configuratiebestand, Config.sys, of door het gebruik van speciale functies voor het bijhouden HOUDEN interrupts.

De situatie is erger in het geval wanneer een geheugen-resident virussen van dit type wordt gebruikt voor de toewijzing van een gebied van systeemgeheugen. De situatie is zodanig dat het eerste virus "snijdt" een stuk vrij geheugen, dan markeert dit gebied bezet, dan houdt zijn eigen exemplaar van het. Wat is het meest verdrietig, zijn er gevallen waarin kopieën in videogeheugen, en op het gebied gereserveerd voor het klembord, en de interrupt vector tafel, en DOS gebieden.

Dit alles maakt kopieën van het virus dreiging is zo hardnekkig dat ze, in tegenstelling tot de niet-ingezeten virussen die loopt tot en uitvoeren van een bepaald programma of de functies van het besturingssysteem, kunnen opnieuw worden, zelfs na een reboot geactiveerd. Bovendien, bij het openen van het geïnfecteerde object het virus is in staat om je eigen kopie te maken, zelfs in het geheugen. Als gevolg daarvan - onmiddellijk halt de computer. Zoals duidelijk is, de behandeling van virussen van dit type moet worden uitgevoerd met behulp van speciale scanners worden uitgevoerd, en het is wenselijk niet stationaire en draagbare of degenen die in staat zijn om op te starten vanaf de optische schijf of USB-drive is. Maar daarover later meer.

boot bedreiging

Opstartvirussen doordringen in het systeem door middel van een soortgelijke methode. Dat is gewoon dat ze zich gedragen, wat wordt genoemd, fijn, eerst "het eten van" een stuk van systeemgeheugen (meestal 1 KB, maar soms is dit cijfer kan een maximum van 30 KB te bereiken), en vervolgens het voorschrijven aan zijn eigen code in de vorm van een kopie, en dan begint een herstart nodig. Het is beladen met negatieve gevolgen, want na herstart het virus herstelt de verminderde geheugen naar de oorspronkelijke grootte, en een kopie is buiten het systeemgeheugen.

Naast het bijhouden van onderbrekingen dergelijke virussen zijn in staat om hun eigen code in de bootsector (MBR record) voorschrijven. Minder vaak gebruikte BIOS onderschept en de DOS en de virussen zelf zijn eenmaal geladen, zonder te controleren voor hun eigen exemplaren.

Virussen in Windows

Met de komst van virus ontwikkeling van Windows-systemen zijn een nieuw niveau bereikt, helaas. Vandaag is elke versie van Windows wordt beschouwd als het meest kwetsbaar systeem, ondanks de inspanningen van de deskundigen van Microsoft in de ontwikkeling van de veiligheid modules.

Virussen ontworpen voor Windows, werkt volgens het principe vergelijkbaar met de DOS-bedreigende, enige manier om de computer binnen te dringen is er nog veel meer. De meest voorkomende zijn drie belangrijke, die in het virus zijn eigen code systeem kan voorschrijven:

• Registratie van het virus als de momenteel lopende toepassingen;
• de toewijzing van een blok van het geheugen en schrijven naar zijn eigen kopieën;
• werken in het systeem onder het mom of verhullen VxD drivers onder Windows NT-stuurprogramma.

Geïnfecteerde bestanden of systeem geheugengebied in principe kan worden uitgehard met gebruikelijke werkwijzen die worden gebruikt in de anti-virus scanners (viruscontrole masker, vergeleken met databases handtekeningen enz. D.). Echter, indien gebruikt pretentieloze gratis programma's, kunnen ze niet het virus te identificeren, en soms zelfs een vals positief. Daarom is de balk te gebruiken draagbare instrumenten als "Doctor Web" (in het bijzonder, Dr. Web CureIt!) Of producten "Kaspersky Lab". Echter, vandaag kun je een hoop tools van dit type te vinden.

macrovirussen

Voor ons is een ander ras van bedreigingen. De naam komt van het woord "macro", dat wil zeggen een uitvoerbaar applet of de add gebruikt in sommige editors. Het is geen wonder dat de lancering van het virus vindt plaats aan het begin van het programma (Word, Excel, en ga zo maar door. D.), de opening van een kantoor document, print het uit, bel dan de menu-items, en ga zo maar door. N.

Dergelijke bedreigingen in de vorm van het systeem macro's worden opgeslagen in het geheugen voor de gehele looptijd editor. Maar in het algemeen, als we rekening houden met de vraag hoe zich te ontdoen van de virussen van dit type, de oplossing is heel simpel. In sommige gevallen, het helpt zelfs de gebruikelijke Disable Add-ons of macro's in de editor, evenals de activering van applets antivirus bescherming, niet de gebruikelijke quick scan antivirus systeem te noemen.

Virussen op basis van de "stealth" -technologie

Kijk nu naar de vermomde virussen, is het geen wonder dat ze hun naam aan een stealth vliegtuig.

De essentie van hun functioneren bestaat juist in het feit dat zij zich presenteren als een systeem component en bepalen hun conventionele methoden kan soms hard genoeg zijn. Onder deze bedreigingen kunnen worden gevonden en macrovirussen, en start de dreiging, en DOS-virussen. Er wordt aangenomen dat voor Windows stealth-virussen zijn nog niet ontwikkeld, hoewel veel deskundigen beweren dat het slechts een kwestie van tijd.

file variëteiten

In het algemeen kunnen alle virussen een bestand worden genoemd, omdat ze een of andere manier de file systeem beïnvloeden en werken op bestanden of infecteren ze met zijn eigen code, of het versleutelen of ontoegankelijk maken als gevolg van corruptie of verwijdering.

Het eenvoudigste voorbeeld is de moderne coders virussen (bloedzuigers), en beruchte Ik hou van jou. Ze produceren anti-virus is niet iets dat moeilijk zonder speciale rasshifrovochnyh toetsen, en vaak is het onmogelijk om te doen. Zelfs de toonaangevende ontwikkelaars van anti-virus software kan niets schouderophalen doen, want, in tegenstelling tot vandaag AES256 encryptiesysteem, dan gebruikt AES1024 technologie. U begrijpt dat in het transcript kan meer dan een decennium, op basis van het aantal mogelijke toetsencombinaties.

polymorfe bedreigingen

Tot slot, een ander ras van bedreigingen, die het fenomeen van polymorfisme te gebruiken. Wat is het? Het feit dat virussen worden voortdurend veranderen van uw eigen code, en dit wordt gedaan aan de hand van de zogenaamde zwevende toets.

Met andere woorden, een masker om de dreiging te identificeren is niet mogelijk, omdat, zoals blijkt, verschilt niet alleen door de patroon op de code als met de belangrijkste te decoderen. polymorfe speciale decoders (transcribenten) worden gebruikt om te gaan met dergelijke problemen. Echter, zoals de praktijk blijkt, zijn ze in staat om alleen de meest eenvoudige virussen ontcijferen. Meer geavanceerde algoritmen, helaas, in de meeste gevallen, de impact ervan kan niet. We moeten ook zeggen dat de verandering van de code van het virus gaat gepaard met het creëren van kopieën van hun verminderde lengte, die kunnen afwijken van het origineel is erg belangrijk.

Hoe om te gaan met interne bedreigingen

Tot slot, we ons wenden tot de kwestie van de bestrijding van aanwezige virussen en de bescherming van computersystemen van enige complexiteit. De eenvoudigste manier om patronage kan worden beschouwd als de installatie van een full-time anti-virus pakket, dat is alleen gebruik best geen vrije software, maar in ieder geval shareware (proef) versie van ontwikkelaars zoals "Doctor Web", "Kaspersky Anti-Virus", de ESET NOD32 en Smart Security soort programma, als de gebruiker is voortdurend bezig met het internet.

Echter, in dit geval, niemand is immuun voor dat de dreiging niet doordringen tot de computer. Zo ja, heeft deze situatie zich voordoet, moet eerst gebruik maken van draagbare scanners, en het is beter om schijfhulpprogramma's Rescue Disk gebruiken. Ze kunnen worden gebruikt om de programma-interface en scannen op te starten voor de start van de belangrijkste besturingssysteem (virussen kunnen maken en hun eigen kopieën op te slaan in het systeem, en zelfs in-memory).

En nogmaals, het is niet aan te raden om software te gebruiken zoals SpyHunter, en dan later uit de verpakking en de bijbehorende componenten om zich te ontdoen van de niet-ingewijden gebruiker problematisch zou zijn. En, natuurlijk, niet alleen de geïnfecteerde bestanden verwijderen of proberen om de harde schijf te formatteren. Het is beter om de behandeling professionele anti-virus producten te verlaten.

conclusie

Het blijft om toe te voegen dat de hierboven overwogen alleen de belangrijkste aspecten in verband met aanwezige virussen en methoden om deze te bestrijden. Immers, als we kijken naar de computer bedreigingen, om zo te zeggen, in een globale zin, elke dag is er een groot aantal van hen, de ontwikkelaars remedies gewoon geen tijd om te komen met nieuwe manieren van omgaan met dergelijke tegenslag hebben.