vírus residentes: o que é e como destruir. Os vírus de computador

A maioria dos usuários, pelo menos uma vez na vida confrontados com o conceito de vírus de computador. No entanto, muitos não sabem que a classificação na base de ameaças consiste em duas grandes categorias: não-residentes e residentes vírus. Vamos considerar o segundo grau, porque que os seus representantes são os mais perigosos, e às vezes undeletable mesmo com a formatação do disco ou partição.

O que é um vírus residentes na memória?

Então, qual é o usuário negócio? Para simplificar a explicação da estrutura e os princípios de funcionamento de tais vírus para começar é se concentrar no explicando o que o programa residente em geral.

vírus residentes

Acredita-se que para este tipo de software inclui aplicativos que são executados continuamente no modo de monitoração, explicitamente não mostrando suas ações (por exemplo, os mesmos scanners de vírus regulares). Quanto às ameaças que penetram no sistema de computador, eles não apenas pendurar permanentemente na memória do computador, mas também criar seus próprios duplos. Assim, cópias do vírus e estão monitorando constantemente o sistema e seguir em frente, o que torna difícil encontrá-los. Algumas ameaças também pode alterar a sua própria estrutura, e sua detecção com base em métodos convencionais é praticamente impossível. Um pouco mais tarde, um olhar para a forma de se livrar do vírus deste tipo. Enquanto isso, o foco sobre as principais variedades de ameaças residentes.

DOS-ameaça

Inicialmente, quando ainda não existiam os sistemas Windows- ou UNIX-like, e a comunicação do usuário com o computador está no nível de instrução, houve um "SOs» DOS, o tempo suficiente para segurar o pico de popularidade.

médico web

E é por tais sistemas foram criados não residentes e residentes vírus, o efeito do que foi dirigido pela primeira vez ao mau funcionamento do sistema ou remover arquivos personalizados e pastas.

O princípio de funcionamento de tais ameaças, que, aliás, é amplamente utilizado até agora, é que eles interceptar chamadas para arquivos e infectar o receptor. No entanto, a maioria das ameaças conhecidas de hoje funciona no âmbito deste tipo. Mas aqui está o vírus penetrar no sistema ou criando um módulo residente na forma de um motorista que está especificado no arquivo de configuração do sistema, o Config.sys, ou através da utilização de funções especiais para rastreamento MANTENHA interrupções.

A situação é pior no caso quando um vírus residentes na memória deste tipo é usada para a atribuição de uma área de memória do sistema. A situação é tal que o primeiro vírus "corta" um pedaço de memória livre, em seguida, marca essa área como ocupada, em seguida, mantém a sua própria cópia do mesmo. O que é mais triste, há casos em que as cópias estão na memória de vídeo, e nas áreas reservadas para a área de transferência, ea tabela vetor de interrupção, e as áreas operacionais DOS.

Tudo isso faz cópias da ameaça de vírus é tão tenaz que, ao contrário dos vírus não residentes que funcionam até execução de algum programa ou operar as funções do sistema, pode ser ativado novamente, mesmo após a reinicialização. Além disso, ao acessar o objeto infectado o vírus é capaz de criar a sua própria cópia, mesmo na memória. Como resultado – instant parada do computador. Como é evidente, o tratamento de vírus deste tipo deve ser realizado com a ajuda de scanners especiais, e não é desejável estacionária e portátil ou aqueles que são capazes de inicializar a partir da unidade óptica ou USB-drive. Mas mais sobre isso mais tarde.

ameaça de inicialização

Os vírus de inicialização penetrar no sistema através de um método semelhante. Isso é apenas se comportam, o que é chamado, delicadamente, primeiro "comer" um pedaço de memória do sistema (tipicamente 1 KB, mas às vezes esse número pode atingir um máximo de 30 KB), e depois prescrição a seu próprio código na forma de uma cópia, em seguida, começando a exigir uma reinicialização. É repleto de consequências negativas, porque depois de reiniciar o vírus restaura a memória reduzido ao seu tamanho original e uma cópia está fora da memória do sistema.

como se livrar de vírus

Além de interrupções de rastreamento de tais vírus são capazes de prescrever o seu próprio código no setor de inicialização (registro MBR). Menos frequentemente usado intercepta BIOS e o DOS, e os próprios vírus são carregados uma vez, sem verificar suas próprias cópias.

Vírus no Windows

Com o advento do desenvolvimento de vírus do Windows sistemas chegaram a um novo nível, infelizmente. Hoje é qualquer versão do Windows é considerado o sistema mais vulnerável, apesar dos esforços realizados por especialistas da Microsoft no desenvolvimento de módulos de segurança.

tratamento vírus

Vírus projetado no Windows, trabalha com o princípio semelhante ao DOS ameaçadora, única maneira de penetrar no computador há muito mais. Os mais comuns são três principal, que no vírus pode prescrever o seu próprio sistema de código:

Registro de vírus como as aplicações actualmente em execução;
a alocação de um bloco de memória e gravar sua próprias cópias;
trabalhar no sistema sob o disfarce ou drivers VxD disfarce sob o Windows NT motorista.

Os arquivos infectados ou área de memória do sistema, em princípio, pode ser curado por métodos convencionais, que são usados em scanners anti-vírus (máscara de detecção de vírus, comparação com bases de dados de assinaturas e assim por diante. D.). No entanto, se for utilizado programas gratuitos despretensioso, eles não podem identificar o vírus, e às vezes até mesmo dar um falso positivo. Portanto, o feixe de usar ferramentas portáteis como "Doctor Web" (em particular, Dr. Web CureIt!) Ou produtos "Kaspersky Lab". No entanto, hoje você pode encontrar um monte de ferramentas deste tipo.

Os vírus de macro

Antes de nós é uma outra variedade de ameaças. O nome vem da palavra "macro", ou seja, um applet executável ou o suplemento usado em alguns editores. Não é à toa que o lançamento do vírus ocorre no início do programa (Word, Excel, e assim por diante. D.), a abertura de um documento do Office, imprimi-lo, ligue para os itens do menu, e assim por diante. N.

TSR

Tais ameaças na forma de macros de sistema são armazenados na memória para todo o editor de tempo de execução. Mas, em geral, se considerarmos a questão de como se livrar dos vírus deste tipo, a solução é bastante simples. Em alguns casos, ajuda mesmo os add-ons usuais desativar ou macros do editor, bem como a activação de applets de proteção antivírus, para não mencionar o habitual rápida sistema de pacotes Antivírus.

Os vírus com base na tecnologia "stealth"

Agora olhe para os vírus disfarçados, não é de admirar que eles têm o seu nome a partir de uma aeronave furtiva.

vírus de macro

A essência do seu funcionamento consiste precisamente no fato de que eles se apresentam como um componente do sistema e determinar os seus métodos convencionais às vezes pode ser bastante difícil. Entre estas ameaças podem ser encontrados e vírus de macro, e arrancar a ameaça, e DOS-vírus. Acredita-se que a presença de vírus furtivos do Windows ainda não foram desenvolvidos, embora muitos especialistas argumentam que é apenas uma questão de tempo.

variedades de arquivo

Em geral, todos os vírus pode ser chamado de um arquivo, porque de alguma forma afetar o sistema de arquivos e agir em arquivos ou infectá-las com o seu próprio código, ou criptografando, ou tornando inacessíveis devido à corrupção ou exclusão.

cópias de vírus

O exemplo mais simples é os codificadores modernos vírus (sanguessugas), e infame eu te amo. Eles produzem anti-vírus não é algo que é difícil sem teclas especiais rasshifrovochnyh, e muitas vezes é impossível de fazer. Mesmo os principais desenvolvedores de software anti-vírus não pode fazer nada encolher de ombros, porque, ao contrário de hoje sistema de criptografia AES256, em seguida, usou a tecnologia AES1024. Você entende que na transcrição pode demorar mais de uma década, com base no número de possíveis combinações de teclas.

ameaças polimórficas

Finalmente, uma outra variedade de ameaças, que utilizam o fenômeno de polimorfismo. O que é isso? O fato de que os vírus estão constantemente a mudar seu próprio código, e isso é feito com base da chave flutuante chamado.

Em outras palavras, uma máscara para identificar a ameaça não é possível, uma vez que, como visto, varia não só pelo seu padrão baseado no código, mas também a chave para decodificação. polimórficos decodificadores especiais (transcritores) são usados para lidar com esses problemas. No entanto, como mostra a prática, eles são capazes de decifrar única vírus mais simples. algoritmos mais sofisticados, infelizmente, na maioria dos casos, o seu impacto não pode ser. Devemos também dizer que a mudança do código do vírus é acompanhada pela criação de cópias de seu comprimento reduzido, o que pode ser diferente do original é muito importante.

Como lidar com ameaças residentes

Finalmente, nos voltamos para a questão do combate vírus residentes e proteger sistemas de computadores de qualquer complexidade. A maneira mais fácil de patrocínio pode ser considerada a instalação de um pacote anti-vírus em tempo integral, que é apenas para uso é melhor não software livre, mas pelo menos shareware (trial) versão de desenvolvedores, como tipo de programa Smart Security "Doctor Web", "Kaspersky Anti-Virus", o ESET NOD32 e, se o usuário está constantemente trabalhando com a Internet.

vírus residentes

No entanto, neste caso, ninguém está imune a essa ameaça não penetra para o computador. Se assim for, esta situação tenha ocorrido, deve primeiro usar scanners portáteis, e é melhor usar os utilitários de disco Rescue Disk. Eles podem ser usados para inicializar a interface do programa e digitalização antes do início do sistema operacional principal (vírus pode criar e armazenar suas próprias cópias no sistema, e até mesmo na memória).

E, novamente, não é recomendado o uso de software como SpyHunter, e depois da embalagem e seus componentes associados para se livrar do usuário leigo seria problemático. E, claro, não basta excluir os arquivos infectados ou tentar formatar o disco rígido. Melhor deixar o tratamento profissional produtos anti-vírus.

conclusão

Resta acrescentar que as consideradas acima apenas os principais aspectos relacionados a vírus e métodos de residentes para as combater. Afinal, se olharmos para ameaças de computador, por assim dizer, num sentido global, todos os dias há um grande número deles, os remédios desenvolvedores simplesmente não têm tempo para chegar a novos métodos de lidar com tais adversidades.