Resident virus: apa itu dan bagaimana untuk menghancurkan. virus komputer

Sebagian besar pengguna setidaknya sekali dalam hidupnya dihadapkan dengan konsep virus komputer. Namun, tidak banyak yang tahu bahwa klasifikasi di dasar ancaman terdiri dari dua kategori besar: non-residen dan penduduk virus. Mari kita mempertimbangkan kelas dua, karena wakilnya adalah yang paling berbahaya, dan kadang-kadang undeletable bahkan dengan memformat disk atau partisi.

Apa yang dimaksud dengan virus memori-penduduk?

Jadi, apa yang pengguna kesepakatan? Untuk mempermudah penjelasan dari struktur dan prinsip-prinsip operasi virus tersebut untuk memulai adalah untuk fokus pada menjelaskan apa program penduduk pada umumnya.

Hal ini diyakini bahwa untuk jenis perangkat lunak termasuk aplikasi yang terus berjalan dalam modus pemantauan, secara eksplisit tidak menunjukkan tindakan Anda (misalnya, scanner virus biasa yang sama). Adapun ancaman yang menembus ke dalam sistem komputer, mereka tidak hanya menggantung secara permanen dalam memori komputer, tetapi juga membuat ganda mereka sendiri. Dengan demikian, salinan virus dan terus memantau sistem dan bergerak di atasnya, yang membuatnya sulit untuk menemukan mereka. Beberapa ancaman juga dapat mengubah struktur sendiri, dan deteksi mereka atas dasar metode konvensional hampir tidak mungkin. Beberapa saat kemudian, lihat bagaimana untuk menyingkirkan virus jenis ini. Sementara itu, fokus pada varietas utama ancaman warga.

DOS-ancaman

Awalnya, ketika Windows- atau UNIX-seperti sistem masih tidak ada, dan komunikasi pengguna dengan komputer adalah pada tingkat instruksi, ada "OS» DOS, cukup lama untuk berpegang pada puncak popularitas.

Dan itu adalah untuk sistem seperti dibentuk non-penduduk dan penduduk virus, efeknya yang pertama kali diarahkan ke kerusakan sistem atau menghapus file kustom dan folder.

Prinsip operasi dari ancaman tersebut, yang, kebetulan, secara luas digunakan sejauh ini, adalah bahwa mereka mencegat panggilan ke file, dan kemudian menginfeksi callee. Namun, sebagian besar dari ancaman dikenal hari ini bekerja di bawah jenis ini. Tapi di sini adalah virus menembus ke dalam sistem atau dengan menciptakan modul penduduk dalam bentuk driver yang ditentukan dalam file konfigurasi sistem, Config.sys, atau melalui penggunaan fungsi khusus untuk pelacakan MENJAGA interupsi.

Situasi ini lebih buruk dalam kasus ketika sebuah virus memori-penduduk jenis ini digunakan untuk alokasi area memori sistem. Situasi ini seperti bahwa virus pertama "memotong" sepotong memori bebas, maka menandai daerah ini sebagai diduduki, kemudian membuat salinan sendiri itu. Apa yang paling sedih, ada kasus di mana salinan berada di memori video, dan di daerah dicadangkan untuk clipboard, dan tabel vektor interupsi, dan daerah operasi DOS.

Semua ini membuat salinan dari ancaman virus begitu ulet bahwa mereka, tidak seperti virus non-penduduk yang berjalan sampai menjalankan beberapa program atau operasi fungsi sistem, dapat diaktifkan lagi bahkan setelah reboot. Selain itu, ketika mengakses objek yang terinfeksi virus ini mampu membuat salinan sendiri, bahkan dalam memori. Akibatnya - instan berhenti komputer. Sebagaimana jelas, pengobatan virus jenis ini harus dilakukan dengan bantuan scanner khusus, dan diharapkan tidak stasioner, dan portabel atau mereka yang mampu untuk boot dari drive optik atau USB drive. Tetapi lebih tentang itu nanti.

booting ancaman

virus boot menembus ke sistem dengan metode yang sama. Itu hanya mereka berperilaku, apa yang disebut, hati-hati, pertama "makan" sepotong memori sistem (biasanya 1 KB, tapi kadang-kadang angka ini dapat mencapai maksimal 30 KB), dan kemudian resep untuk kode sendiri dalam bentuk salinan, dan kemudian mulai memerlukan reboot. Hal ini penuh dengan konsekuensi negatif, karena setelah me-restart virus mengembalikan memori berkurang ke ukuran aslinya, dan salinan berada di luar memori sistem.

Selain gangguan pelacakan virus tersebut dapat meresepkan kode mereka sendiri di sektor boot (MBR record). Kurang sering digunakan penyadapan BIOS dan DOS, dan virus itu sendiri dimuat sekali, tanpa memeriksa salinan mereka sendiri.

Virus pada Windows

Dengan munculnya perkembangan virus Windows-sistem telah mencapai tingkat yang baru, sayangnya. Hari ini adalah versi Windows dianggap sistem yang paling rentan, meskipun upaya yang dilakukan oleh para ahli Microsoft dalam pengembangan modul keamanan.

Virus dirancang pada Windows, bekerja pada prinsip serupa dengan DOS-mengancam, satu-satunya cara untuk menembus komputer ada banyak lagi. Yang paling umum adalah tiga utama, yang di virus mungkin meresepkan sistem kode sendiri:

• Pendaftaran virus sebagai aplikasi yang sedang berjalan;
• alokasi blok memori dan menulis ke salinan itu sendiri;
• bekerja dalam sistem dengan kedok atau driver menyamar VxD bawah driver Windows NT.

file yang terinfeksi atau daerah memori sistem, pada prinsipnya, dapat disembuhkan dengan metode konvensional, yang digunakan dalam scanner anti-virus (virus deteksi masker, perbandingan dengan database tanda tangan dan sebagainya. D.). Namun, jika digunakan program gratis bersahaja, mereka tidak dapat mengidentifikasi virus, dan kadang-kadang bahkan memberikan positif palsu. Oleh karena itu, balok menggunakan alat portabel seperti "Doctor Web" (khususnya, Dr Web CureIt!) Atau produk "Kaspersky Lab". Namun, saat ini Anda dapat menemukan banyak alat jenis ini.

virus makro

Sebelum kami adalah varietas lain dari ancaman. Nama berasal dari kata "makro", yaitu sebuah applet dieksekusi, atau add digunakan dalam beberapa editor. Hal ini tidak mengherankan bahwa peluncuran virus terjadi pada awal program (Word, Excel, dan sebagainya. D.), Pembukaan dokumen kantor, mencetaknya, sebut item menu, dan sebagainya. N.

ancaman seperti dalam bentuk macro sistem disimpan dalam memori untuk seluruh waktu berjalan Editor. Tapi secara umum, jika kita mempertimbangkan pertanyaan tentang bagaimana untuk menyingkirkan virus jenis ini, solusinya cukup sederhana. Dalam beberapa kasus, bahkan membantu biasa Nonaktifkan Pengaya atau makro dalam editor, serta aktivasi applet perlindungan antivirus, belum lagi biasa cepat antivirus scan sistem paket.

Virus atas dasar teknologi "siluman"

Sekarang lihat pada virus menyamar, maka tidak mengherankan bahwa mereka mendapatkan nama mereka dari pesawat siluman.

Inti dari fungsi mereka terdiri tepatnya di fakta bahwa mereka menampilkan diri sebagai komponen sistem dan menentukan metode konvensional mereka kadang-kadang bisa cukup keras. Di antara ancaman ini dapat ditemukan dan virus makro, dan boot ancaman, dan DOS-virus. Hal ini diyakini bahwa virus siluman Windows belum dikembangkan, meskipun banyak ahli berpendapat bahwa itu hanya masalah waktu.

varietas berkas

Secara umum, semua virus bisa disebut file, karena mereka entah bagaimana mempengaruhi sistem file dan bertindak atas file, atau menginfeksi mereka dengan kode sendiri, atau enkripsi, atau membuat tidak dapat diakses karena korupsi atau penghapusan.

Contoh paling sederhana adalah coders virus modern (lintah), dan terkenal Aku cinta kamu. Mereka menghasilkan anti-virus bukanlah sesuatu yang sulit tanpa kunci rasshifrovochnyh khusus, dan sering tidak mungkin untuk dilakukan. Bahkan pengembang terkemuka perangkat lunak anti-virus dapat melakukan apa-apa mengangkat bahu, karena, tidak seperti saat ini sistem enkripsi AES256, kemudian digunakan teknologi AES1024. Anda memahami bahwa dalam transkrip dapat berlangsung lebih dari satu dekade, berdasarkan jumlah kemungkinan kombinasi tombol.

ancaman polimorfik

Akhirnya, berbagai lain ancaman, yang menggunakan fenomena polimorfisme. Apa itu? Fakta bahwa virus yang terus berubah kode Anda sendiri, dan ini dilakukan atas dasar yang disebut kunci mengambang.

Dengan kata lain, masker untuk mengidentifikasi ancaman itu tidak mungkin, karena, seperti yang terlihat, bervariasi tidak hanya oleh pola yang berdasarkan kode, tetapi juga kunci untuk decoding. polimorfik decoder khusus (transcribers) digunakan untuk menangani masalah tersebut. Namun, sebagai praktek menunjukkan, mereka mampu menguraikan hanya virus yang paling sederhana. algoritma yang lebih canggih, sayangnya, dalam banyak kasus, dampaknya bisa tidak. Kami juga harus mengatakan bahwa perubahan kode virus disertai oleh penciptaan salinan panjang mereka berkurang, yang mungkin berbeda dari aslinya sangat penting.

Bagaimana menangani ancaman penduduk

Akhirnya, kita beralih ke isu memerangi virus penduduk dan melindungi sistem komputer dari setiap kompleksitas. Cara termudah untuk patronase dapat dianggap instalasi paket anti-virus penuh waktu, itu hanya menggunakan yang terbaik bukan perangkat lunak bebas, tapi setidaknya shareware (trial) versi dari pengembang seperti "Doctor Web", "Kaspersky Anti-Virus", ESET NOD32 dan jenis program Smart Security, jika pengguna terus-menerus bekerja dengan internet.

Namun, dalam kasus ini, tidak ada yang kebal dari ancaman yang tidak menembus ke komputer. Jika demikian, situasi ini telah terjadi, pertama harus menggunakan scanner portabel, dan itu lebih baik menggunakan disk utilitas Rescue Disk. Mereka dapat digunakan untuk boot program antarmuka dan pemindaian sebelum dimulainya sistem operasi utama (virus dapat membuat dan menyimpan salinan mereka sendiri dalam sistem, dan bahkan di memori).

Dan lagi, tidak dianjurkan untuk menggunakan perangkat lunak seperti SpyHunter, dan kemudian dari paket dan komponen terkait untuk menyingkirkan pengguna yang belum tahu akan bermasalah. Dan, tentu saja, tidak hanya menghapus file yang terinfeksi atau mencoba untuk memformat hard drive. Lebih baik untuk meninggalkan produk anti-virus perawatan profesional.

kesimpulan

Masih menambahkan bahwa di atas dianggap hanya aspek-aspek utama yang terkait dengan virus penduduk dan metode untuk memerangi mereka. Setelah semua, jika kita melihat ancaman komputer, sehingga untuk berbicara, dalam arti global, setiap hari ada sejumlah besar dari mereka, para pengembang obat tidak punya waktu untuk datang dengan metode baru berurusan dengan kesulitan tersebut.