Virus thường trú: nó và làm thế nào để tiêu diệt là gì. virus máy tính

Hầu hết người dùng ít nhất một lần trong cuộc đời mình phải đối mặt với các khái niệm về virus máy tính. Tuy nhiên, không nhiều người biết rằng việc phân loại tại cơ sở của các mối đe dọa bao gồm hai loại lớn: không cư trú và thường trú virus. Chúng ta hãy xem xét các lớp thứ hai, bởi vì đó đại diện của mình là nguy hiểm nhất, và đôi khi không thể xóa thậm chí bằng cách định dạng đĩa hoặc phân vùng.

một virus trú trong bộ nhớ là gì?

Vì vậy, người sử dụng thỏa thuận là gì? Để đơn giản hóa việc giải thích về cấu trúc và nguyên tắc hoạt động của virus như vậy để bắt đầu là tập trung vào việc giải thích những gì chương trình thường trú nói chung.

Người ta tin rằng cho loại phần mềm này bao gồm các ứng dụng chạy liên tục ở chế độ giám sát, rõ ràng không hiển thị hành động của bạn (ví dụ, các chương trình quét virus thường xuyên như nhau). Đối với các mối đe dọa thâm nhập vào hệ thống máy tính, họ không chỉ treo vĩnh viễn trong bộ nhớ của máy tính, mà còn tạo ra đôi của mình. Như vậy, bản sao của virus và thường xuyên giám sát hệ thống và di chuyển trên nó, mà làm cho nó khó khăn để tìm thấy chúng. Một số mối đe dọa cũng có thể thay đổi cấu trúc riêng của nó, và phát hiện của họ trên cơ sở phương pháp truyền thống là hầu như không thể. Một lát sau, một cái nhìn như thế nào để thoát khỏi virus thuộc loại này. Trong khi đó, tập trung vào các giống chủ yếu của các mối đe dọa thường trú.

DOS-mối đe dọa

Ban đầu, khi các hệ thống-Windows hay UNIX-như vẫn chưa hề tồn tại, và các thông tin liên lạc người dùng với máy tính là ở cấp hướng dẫn, đã có một "hệ điều hành» DOS, đủ lâu để giữ trên đỉnh cao của sự nổi tiếng.

Và nó là dành cho hệ thống như vậy đã được thiết lập không cư trú và thường trú virus, tác dụng trong đó lần đầu tiên được chuyển trực tiếp tới trục trặc của hệ thống hay xóa những file và thư mục tùy chỉnh.

Nguyên tắc hoạt động của các mối đe dọa như vậy, trong đó, tình cờ, được sử dụng rộng rãi cho đến nay, là họ chặn các cuộc gọi đến tập tin, và sau đó lây nhiễm callee. Tuy nhiên, hầu hết các mối đe dọa được biết đến hiện nay hoạt động dưới loại này. Nhưng đây là virus thâm nhập vào hệ thống hoặc bằng cách tạo một module thường trú tại dưới dạng một trình điều khiển được chỉ định trong các tập tin cấu hình hệ thống, các Config.sys, hoặc thông qua việc sử dụng các chức năng đặc biệt để theo dõi GIỮ ngắt.

Tình hình còn tồi tệ hơn trong trường hợp khi một virus bộ nhớ thường trú thuộc loại này được sử dụng cho việc phân bổ của một khu vực của bộ nhớ hệ thống. Tình hình là như vậy mà virus đầu tiên "cắt" một mảnh bộ nhớ miễn phí, sau đó đánh dấu khu vực này như bị chiếm đóng, sau đó giữ bản sao riêng của nó. là những gì buồn nhất, có những trường hợp bản sao trong bộ nhớ video, và tại khu vực dành cho clipboard, và bảng vector ngắt, và các khu vực điều hành DOS.

Tất cả điều này làm cho các bản sao của mối đe dọa virus rất ngoan cường rằng họ, không giống như các virus không cư trú mà chạy cho đến khi chạy một số chương trình hoặc hoạt động chức năng hệ thống, có thể được kích hoạt một lần nữa ngay cả sau khi khởi động lại. Bên cạnh đó, khi truy cập vào các đối tượng bị nhiễm virus có khả năng tạo ra bản sao của riêng mình, thậm chí trong bộ nhớ. Kết quả là - ngay lập tức dừng lại máy tính. Như là rõ ràng, điều trị virus thuộc loại này phải được thực hiện với sự giúp đỡ của máy quét đặc biệt, và đó là mong muốn không đứng yên, và cầm tay hoặc những người có khả năng khởi động từ ổ đĩa quang hoặc USB-drive. Nhưng thêm về điều này sau.

mối đe dọa khởi động

virus Boot thâm nhập vào hệ thống bằng phương pháp tương tự. Đó chỉ là họ cư xử, những gì được gọi là, tế nhị, lần đầu tiên "ăn" một mảnh bộ nhớ hệ thống (thường là 1 KB, nhưng đôi khi con số này có thể lên đến tối đa là 30 KB), và sau đó quy định để mã riêng của mình dưới hình thức một bản sao, và sau đó bắt đầu để yêu cầu khởi động lại. Nó là đầy với những hậu quả tiêu cực, bởi vì sau khi khởi động lại vi rút khôi phục giảm bộ nhớ để kích thước ban đầu của nó, và một bản sao nằm ngoài bộ nhớ hệ thống.

Ngoài gián đoạn theo dõi virus như vậy có thể kê toa mã riêng của họ trong lĩnh vực khởi động (MBR kỷ lục). Ít thường xuyên sử dụng chặn BIOS và hệ điều hành DOS, và các virus tự được nạp một lần, mà không kiểm tra các bản sao của chính họ.

Virus trong Windows

Với sự ra đời của phát triển virus của Windows hệ thống này đã đạt đến một tầm cao mới, không may. Hôm nay nó là bất kỳ phiên bản của Windows được coi là hệ thống dễ bị tổn thương nhất, bất chấp những nỗ lực của các chuyên gia của Microsoft trong việc phát triển module an toàn.

Virus được thiết kế trên Windows, hoạt động trên nguyên tắc tương tự cho hệ điều hành DOS đe dọa, cách duy nhất để thâm nhập vào máy tính có nhiều hơn nữa. Phổ biến nhất là ba chính, mà trong virus có thể quy định hệ thống mã riêng của nó:

• Đăng ký doanh nghiệp của virus như các ứng dụng đang chạy;
• việc phân bổ một khối bộ nhớ và ghi vào bản sao riêng của nó;
• làm việc trong hệ thống dưới vỏ bọc hoặc trình điều khiển VxD ngụy trang dưới driver của Windows NT.

file bị nhiễm hoặc khu vực bộ nhớ hệ thống, về nguyên tắc, có thể được chữa khỏi bằng các phương pháp thông thường, được sử dụng trong các máy quét chống virus (Virus phát hiện mặt nạ, so sánh với cơ sở dữ liệu chữ ký và vân vân. D.). Tuy nhiên, nếu sử dụng chương trình miễn phí khiêm tốn, họ không thể xác định được virus, và đôi khi thậm chí cung cấp một dương tính giả. Do đó, chùm sử dụng công cụ cầm tay như "Doctor Web" (đặc biệt, Dr.web CureIt!) Hoặc các sản phẩm "Kaspersky Lab". Tuy nhiên, hôm nay bạn có thể tìm thấy rất nhiều công cụ thuộc loại này.

virus Macro

Trước khi chúng tôi là một loạt các mối đe dọa. Tên có nguồn gốc từ "vĩ mô", tức là một applet thực thi, hoặc add được sử dụng trong một số biên tập viên. Đó là không có thắc mắc rằng sự ra mắt của virus xảy ra vào lúc bắt đầu của chương trình (Word, Excel, và vân vân. D.), Chấp thuận việc mở một tài liệu văn phòng, in nó, gọi các mục menu, và vân vân. N.

các mối đe dọa như vậy dưới dạng các macro hệ thống được lưu trữ trong bộ nhớ cho toàn bộ biên tập viên thời gian chạy. Nhưng nói chung, nếu chúng ta xem xét các vấn đề làm thế nào để thoát khỏi các virus thuộc loại này, giải pháp là khá đơn giản. Trong một số trường hợp, nó giúp ngay cả những thường Disable Add-ons hoặc macro trong trình soạn thảo, cũng như sự hoạt hóa các applet bảo vệ chống virus, chưa kể đến quá trình quét chống virus thông thường hệ thống gói nhanh chóng.

Virus trên cơ sở công nghệ "tàng hình"

Bây giờ nhìn vào virus trá hình, nó không tự hỏi rằng họ có tên của họ từ một máy bay tàng hình.

Bản chất của hoạt động của họ bao gồm một cách chính xác trong thực tế là họ thể hiện mình như một thành phần hệ thống và xác định phương pháp truyền thống của họ đôi khi có thể đủ cứng. Trong số những mối đe dọa có thể được tìm thấy và virus macro, và khởi động các mối đe dọa, và hệ điều hành DOS-virus. Người ta tin rằng virus ẩn của Windows chưa được phát triển, mặc dù nhiều chuyên gia cho rằng nó chỉ là một vấn đề thời gian.

giống tập tin

Nói chung, tất cả các virus có thể được gọi là một tập tin, vì họ bằng cách nào đó ảnh hưởng đến hệ thống tập tin và hành động trên các tập tin, hoặc lây nhiễm cho họ với mã riêng của mình, hoặc mã hóa, hoặc làm cho không thể tiếp cận do tham nhũng hoặc xóa.

Ví dụ đơn giản nhất là các lập trình virus hiện đại (đỉa), và nổi tiếng Tôi yêu bạn. Họ sản xuất chống virus không phải là cái gì đó rất khó mà không cần chìa khóa rasshifrovochnyh đặc biệt, và thường thì không thể làm được. Ngay cả các nhà phát triển hàng đầu của phần mềm chống virus không thể làm gì nhún vai, bởi vì, không giống như ngày nay hệ thống mã hóa AES256, sau đó sử dụng công nghệ AES1024. Bạn hiểu rằng trong bảng điểm có thể mất hơn một thập kỷ, dựa vào số lượng các tổ hợp phím có thể.

mối đe dọa đa hình

Cuối cùng, một loạt các mối đe dọa, trong đó sử dụng hiện tượng đa hình. nó là gì? Thực tế là virus thường xuyên thay đổi mã của riêng bạn, và điều này được thực hiện trên cơ sở cái gọi là chìa khóa nổi.

Nói cách khác, một mặt nạ để xác định các mối đe dọa là không thể, bởi vì, như đã thấy, thay đổi không chỉ bởi mẫu của nó dựa trên mã, nhưng cũng là chìa khóa để giải mã. đa hình bộ giải mã đặc biệt (transcribers) được sử dụng để đối phó với vấn đề như vậy. Tuy nhiên, như các chương trình thực tế, họ có thể giải mã chỉ có virus đơn giản nhất. các thuật toán phức tạp hơn, không may, trong hầu hết trường hợp, tác động của họ có thể không được. Chúng ta cũng nên nói rằng sự thay đổi của các mã virus được đi kèm với việc tạo ra các bản sao của chiều dài giảm của họ, mà có thể khác với ban đầu là rất quan trọng.

Làm thế nào để đối phó với các mối đe dọa thường trú

Cuối cùng, chúng ta chuyển sang vấn đề chống virus thường trú và bảo vệ hệ thống máy tính của bất kỳ phức tạp. Cách dễ nhất để bảo trợ có thể được coi là lắp đặt một toàn thời gian gói chống virus, đó là chỉ sử dụng tốt nhất là không phần mềm miễn phí, nhưng ít nhất là phần mềm chia sẻ (dùng thử) phiên bản từ các nhà phát triển chẳng hạn như "Doctor Web", "Kaspersky Anti-Virus", ESET NOD32 và chương trình kiểu Smart Security, nếu người dùng là liên tục làm việc với Internet.

Tuy nhiên, trong trường hợp này, không ai tránh khỏi bị đe dọa mà không thâm nhập vào máy tính. Nếu vậy, tình trạng này đã xảy ra, đầu tiên nên sử dụng máy quét cầm tay, và nó là tốt hơn để sử dụng tiện ích đĩa Rescue Disk. Chúng có thể được sử dụng để khởi động giao diện chương trình và quét trước khi bắt đầu của hệ điều hành chính (virus có thể tạo và lưu trữ các bản sao của mình trong hệ thống, và thậm chí trong bộ nhớ).

Và một lần nữa, nó không được khuyến khích sử dụng phần mềm như SpyHunter, rồi sau đó từ gói và các thành phần liên quan của nó để thoát khỏi người dùng không quen sẽ là vấn đề. Và, tất nhiên, không chỉ xóa các tập tin bị nhiễm bệnh hoặc cố gắng để định dạng ổ đĩa cứng. Tốt hơn để rời khỏi các sản phẩm chống virus chuyên nghiệp điều trị.

phần kết luận

Nó vẫn còn để thêm rằng chỉ các khía cạnh chính trên coi liên quan đến virus và phương pháp thường trú để chống lại họ. Xét cho cùng, nếu chúng ta nhìn vào các mối đe dọa máy tính, có thể nói, trong một ý nghĩa toàn cầu, mỗi ngày có một số lượng lớn trong số họ, các nhà phát triển biện pháp đơn giản là không có thời gian để đưa ra những phương pháp mới để đối phó với nghịch cảnh như thế.