Რეზიდენტი ვირუსები: რა არის და როგორ უნდა გაანადგუროს იგი. კომპიუტერული ვირუსები

მომხმარებელთა უმეტესობამ ოდესმე გაუწია კომპიუტერული ვირუსების კონცეფცია . მართალია, ბევრ ადამიანს არ იცის, რომ მისი ძირითადი საფრთხის კლასიფიკაცია ორ ძირითად კატეგორიას მოიცავს: არარეზიდენტი და რეზიდენტი ვირუსები. მეორე კლასში შევწყვეტთ იმიტომ, რომ ეს არის მისი წარმომადგენლები, რომლებიც ყველაზე საშიში და ზოგჯერ არაპროფესიურია, მაშინაც კი, როდესაც დისკზე ან ლოგიკური დანაყოფი ფორმატირებულია.

რა არის რეზიდენტი ვირუსები?

ასე რომ, რა აქვს მომხმარებელს უნდა გაუმკლავდეთ? ასეთი ვირუსების მუშაობის სტრუქტურისა და პრინციპების გამარტივებული ახსნა-განმარტებისთვის საჭიროა დაიწყოს რეზიდენტი პროგრამის შესახებ ახსნა-განმარტება.

ითვლება, რომ ასეთი ტიპის პროგრამები მოიცავს აპლიკაციებს, რომლებიც მუდმივად მონიტორინგს უტარებენ მონიტორინგს, რაც პირდაპირ არ აჩვენებს მათ ქმედებებს (მაგალითად, იგივე რეგულარული ანტივირუსული სკანერები). რაც შეეხება საფრთხეს კომპიუტერული სისტემებით, ისინი არა მარტო კომპიუტერის მეხსიერებაში, არამედ საკუთარი დუბლიკატების შექმნას ქმნიან. ამდენად, ვირუსების ასლები მუდმივად აკონტროლებენ სისტემას და გადაადგილდებიან, რაც ძალზე ძნელია მათი პოვნა. ზოგიერთი საფრთხე ასევე შეუძლია შეცვალოს საკუთარი სტრუქტურა და მათი გამოვლენა საერთო მეთოდების საფუძველზე პრაქტიკულად შეუძლებელია. ცოტა მოგვიანებით, ჩვენ შევხედავთ, თუ როგორ უნდა მოხსნას ვირუსების ამ ტიპის. იმავდროულად, მოდი ვიცხოვროთ რეზიდენტ საფრთხეებზე.

DOS საფრთხეები

თავდაპირველად, როდესაც Windows- ან UNIX- ის მსგავსი სისტემები ჯერ კიდევ არ იყო და კომპიუტერის კომბინაციაში კომუნიკაცია მოხდა ბრძანების დონეზე, გამოჩნდა "DOS" ოპერაციული სისტემა, რომელიც დიდი ხნის განმავლობაში პოპულარობის პიკს განაგრძობდა.

ეს იყო ისეთ სისტემებში, რომლითაც დაიწყო რეზიდენტი და რეზიდენტი ვირუსები, რომელთა მოქმედებები პირველად მიმართული იყო სისტემის მუშაობის დარღვევით ან მომხმარებლის ფაილების და დასტების წაშლაზე.

ამგვარი საფრთხეების პრინციპი, რომელიც, სავარაუდოდ, ფართოდ გამოიყენება, ის არის, რომ მათ ხელი მიუწვდებოდეთ ფაილების ხელმისაწვდომობაზე და შემდეგ აინფიცირებს ე.წ. ობიექტს. თუმცა, დღევანდელი ცნობილი საფრთხეების უმრავლესობა ამ ტიპისაა. მაგრამ ვირუსები შეაღწიონ სისტემას ან რეზიდენტი მოდულის შექმნა მძღოლის სახით, რომელიც მითითებულია Config.sys სისტემის კონფიგურაციის ფაილში, ან სპეციალური კეპის ფუნქციის გამოყენებით ინტერპრების მონიტორინგის მიზნით.

სიტუაცია უარესია, როდესაც ამ ტიპის რეზიდენტი ვირუსები სისტემური მეხსიერების ტერიტორიების განაწილებას იყენებენ. სიტუაცია ის არის, რომ პირველი ვირუსი "შეწყვიტოს" ნაჭერი თავისუფალი მეხსიერება, მაშინ აღნიშნავს, რომ ეს ტერიტორია დაკავებულია და შემდეგ ინარჩუნებს საკუთარ ასლს. რა არის ყველაზე სევდიანი, არის შემთხვევები, როცა ასლები ვიდეო მეხსიერებაშია განთავსებული, ბუფერში განკუთვნილ ადგილებში, და დრაივების ვექტორების ცხრილებში და DOS სამუშაოებში.

ყოველივე ეს ვირუსის საფრთხის ასლებს აძლევს იმდენად მკაცრი, რომ ისინი განსხვავდებიან არარეზიდენტი ვირუსებისგან, რომლებიც მუშაობენ ზოგიერთ პროგრამაში, ან ოპერაციული სისტემა გაშვებულია, შეუძლია გაააქტიუროთ ისევ გადატვირთვის შემდეგაც. გარდა ამისა, როდესაც ინფიცირებული ობიექტის წვდომისას ვირუსი შეუძლია საკუთარი ასლის შექმნა RAM- ზეც კი. შედეგად, კომპიუტერი დაუყოვნებლივ ჰკიდია. როგორც უკვე გაიგეს, ამ ტიპის ვირუსების მკურნალობა უნდა მოხდეს სპეციალური სკანერების დახმარებით, სასურველია არა სტაციონარული, მაგრამ პორტატული პირობა ან ის, ვისაც შეუძლია დატვირთული ოპტიკური დისკების ან USB- მატარებლებისგან. მაგრამ ამის შესახებ მოგვიანებით.

Boot საფრთხეები

Boot ვირუსების სისტემა შეაღწიოს სისტემას ანალოგიურად. მაგრამ ისინი ამბობენ, როგორც დელიკატურად, პირველ რიგში "ჭამა" სისტემაში მეხსიერების ნაჭერი (ჩვეულებრივ 1 კბ, მაგრამ ზოგჯერ ეს მაჩვენებელი მაქსიმუმ 30 კბ-ს მიაღწევს), შემდეგ კი საკუთარი კოდის სახით დარეგისტრირება ხდება, რის შემდეგაც ის იწყება გადატვირთვის მოთხოვნით. ეს უკავშირდება უარყოფით შედეგებს, რადგან ვირუსის გადატვირთვის შემდეგ ვირუსი აღადგენს მეხსიერების შემცირებას თავდაპირველ ზომაში და მისი ასლი სისტემის მეხსიერების გარეთ არის.

ინფრასტრუქტურის მონიტორინგის გარდა, ასეთ ვირუსებს შეეძლებათ საკუთარი კოდების განსაზღვრა boot სექტორში (MBR ჩანაწერი). BIOS და DOS interceptions გამოიყენება ნაკლებად ხშირად, და ვირუსები გადმოწერილი მხოლოდ ერთხელ, შემოწმების გარეშე ასლი მისი.

ვირუსების ქვეშ Windows

Windows- ზე დაფუძნებულ სისტემებთან ერთად, ვირუსი განვითარებას ახალ დონეზე მიაღწია, სამწუხაროდ. დღეს Windows არის ნებისმიერი ვერსია, რომელიც ითვლება ყველაზე დაუცველ სისტემას, მიუხედავად იმისა, რომ Microsoft- ის სპეციალისტების მიერ უსაფრთხოების მოდულების შემუშავების მცდელობებიც კი.

ვირუსები განკუთვნილია Windows- ისათვის, მუშაობს DOS- საფრთხესთან დაკავშირებული პრინციპებზე, მაგრამ არსებობს ბევრად უფრო მეტი გზა, რომ შეაღწიოს კომპიუტერს. ყველაზე გავრცელებული, არსებობს სამი ძირითადი პირობა, რომლის მიხედვითაც ვირუსმა სისტემაში საკუთარი კოდი შეიძლება განსაზღვროს:

• ვირუსის რეგისტრაცია, როგორც ამჟამად გაშვებული აპლიკაცია;
• მეხსიერების ბლოკის განაწილება და მისი ასლი;
• მუშაობის სისტემა VXD მძღოლის საფარქვეშ ან Windows NT- ის მძღოლად შენიღბვას.

სისტემური მეხსიერების ინფიცირებული ფაილები ან სფეროები, პრინციპში, შეიძლება განკურნდეს ანტივირუსული სკანერების გამოყენებაში (ვირუსის ნიღაბი გამოვლენა, ხელმოწერის მონაცემთა ბაზებთან შედარებით და სხვა) სტანდარტული მეთოდებით. თუმცა, თუ unpretentious უფასო პროგრამების გამოყენება, მათ არ შეუძლიათ აღმოაჩინონ ვირუსი, ზოგჯერ კი ყალბი გამოიწვევს. ამიტომ, ray იყენებს პორტატული კომუნალური როგორიცაა დოქტორი ვებ (კერძოდ, დოქტორი ვებ CureIt!) ან პროდუქტების Kaspersky ლაბორატორია. თუმცა, დღეს თქვენ შეგიძლიათ იპოვოთ საკმაოდ ბევრი კომუნალური ამ ტიპის.

მაკრო ვირუსები

ჩვენს წინაშე არის კიდევ ერთი სახის საფრთხე. სახელი მომდინარეობს სიტყვა "მაკრო", ანუ, შესრულებადი აპლეტი ან add-on, რომელიც გამოიყენება ზოგიერთ რედაქტორში. გასაკვირი არ არის, რომ ვირუსი დაიწყო, როდესაც პროგრამა დაიწყო (Word, Excel და ა.შ.), გახსნის საოფისე დოკუმენტს, დაბეჭდვას, მენიუს ელემენტებს და ა.შ.

ასეთი საფრთხეები სისტემის მაკროს სახით ხსნიან მეხსიერების მუშაობის მთელ ხანგრძლივობას. მაგრამ ზოგადად, თუ გავითვალისწინებთ კითხვაზე, თუ როგორ უნდა მოვიშოროთ ამ ტიპის ვირუსები, გამოსავალი საკმაოდ მარტივია. ზოგიერთ შემთხვევაში, რედაქტორის ჩვეულებრივად გამორთვა ან მაკროსის შესრულება ხელს უწყობს, ისევე, როგორც აპლიკაციების ანტივირუსული დაცვის გამოყენებას, ანტივირუსული პაკეტების სისტემის ჩვეულებრივი სწრაფი სკანირების შესახებ.

ვირუსები დაფუძნებულია საიდუმლო ტექნოლოგიაზე

ახლა მოდით შევხედოთ masking ვირუსები, რადგან მათ იციან მათი სახელი უხილავი თვითმფრინავი.

მათი ფუნქციონირების არსი ზუსტად არის ის, რომ ისინი სისტემის კომპონენტად იქცევიან და ზოგჯერ ჩვეულებრივი მეთოდების განსაზღვრა საკმაოდ რთული საკითხია. ასეთ საფრთხეს შორის შეიძლება მოიძებნოს და მაკრო ვირუსები და ჩატვირთვის საფრთხეები და DOS ვირუსები. ითვლება, რომ Windows- ისთვის, საიდუმლო ვირუსები ჯერ კიდევ არ არის განვითარებული, თუმცა ბევრი ექსპერტი ამბობს, რომ ეს მხოლოდ დროა.

ფაილის ტიპები

ზოგადად, ყველა ვირუსს შეიძლება ეწოდოს ფაილური სისტემა, რადგან ისინი გარკვეულწილად იმოქმედებენ ფაილურ სისტემაზე და იმოქმედებენ ფაილებს, ან მათ ინფიცირებას ახდენენ საკუთარი კოდით, ან გაშიფრავთ მათ ან უშვებენ კორუფციას ან წაშლის გამო.

ყველაზე მარტივი მაგალითებია თანამედროვე კრიპტოგრაფიული ვირუსები (ექსპორტიორების), ასევე ცნობილი მე მიყვარს. მათ გარეშე სპეციალური დეშიფრაციის გასაღებები, მკურნალობის ვირუსების არ არის რაღაც, რაც რთულია, მაგრამ ხშირად შეუძლებელია. წამყვან ანტივირუსული პროგრამისტებსაც კი უმწეოდ გამოირჩევიან, რადგან თანამედროვე AES256 შიფრირების სისტემებისგან განსხვავებით, აქ გამოიყენება AES1024 ტექნოლოგია. თქვენ გესმით, რომ დეკოდირება შეიძლება ათზე მეტი წლის განმავლობაში მიიღოს, რის შედეგადაც შესაძლებელი იქნება ღილაკის შესაძლო ვარიანტების რაოდენობა.

პოლიმორფული საფრთხეები

საბოლოოდ, სხვა სახის საფრთხე, რომელშიც პოლიმორფის ფენომენი გამოიყენება. რას მოიცავს ის ფაქტი, რომ ვირუსები მუდმივად ცვლის საკუთარ კოდს და ეს კეთდება ე.წ. მცურავი გასაღების საფუძველზე.

სხვა სიტყვებით რომ ვთქვათ, ნიღაბი საფრთხეს ვერ განსაზღვრავს, რადგან, როგორც ხედავთ, არა მხოლოდ მისი კოდის დაფუძნებული სტრუქტურა შეიცვალა, არამედ დეშიფრაციის გასაღებიც. ასეთ პრობლემებთან გამკლავება ხდება სპეციალური პოლიმორფული დეკოდერები (decrypters). თუმცა, როგორც პრაქტიკა გვიჩვენებს, მათ შეუძლიათ გააცნონ მხოლოდ ყველაზე მარტივი ვირუსები. უფრო რთული ალგორითმები, სამწუხაროდ, ხშირ შემთხვევაში, მათი ეფექტი არ არის მორგებული. ცალკე აუცილებელია ვთქვათ, რომ ასეთი ვირუსების კოდის ცვლილება თან ახლავს ასლების შემცირებას, რაც მნიშვნელოვნად განსხვავდება ორიგინალიდან.

როგორ უნდა მოგვარდეს რეზიდენტი საფრთხეები

საბოლოოდ, ჩვენ რეაგირების ვირუსებთან დაკავშირებასა და ნებისმიერი სირთულის კომპიუტერული სისტემების დაცვას მივმართავთ. დაცვითი უმარტივესი მეთოდი არის სრულფასოვანი ანტივირუსული პაკეტის დამონტაჟება, მხოლოდ უფასო პროგრამების გამოყენება, არამედ საცდელი ვერსიები, როგორიცაა დოქტორი ვებ, Kaspersky Anti-Virus, ESET NOD32 ან პროგრამები, როგორიცაა Smart Security, თუ მომხმარებელი მუდმივად მუშაობს ინტერნეტში.

თუმცა, ამ შემთხვევაში, არავინ არ არის იმუნიტეტი, რომ მუქარა კომპიუტერში არ შედის. თუ ეს ასეა, პირველ რიგში უნდა გამოიყენოთ პორტატული სკანერები და უკეთესი დისკის კომუნალური სამაშველო დისკი. მათი დახმარებით, შეგიძლიათ ჩამოტვირთოთ პროგრამის ინტერფეისი და სკანირება დაწყებამდე ძირითადი ოპერაციული სისტემის (ვირუსები შეუძლია შექმნას და შეინახოს საკუთარი ასლები სისტემაში და კიდევ RAM).

და მეტი: არ არის რეკომენდირებული პროგრამული უზრუნველყოფა, როგორიცაა SpyHunter, და მაშინ ეს იქნება პრობლემატური მოშორება პაკეტი თავად და მისი თანმხლები კომპონენტები uninitiated მომხმარებლის. და, რა თქმა უნდა, არ დაუყოვნებლივ წაშალოთ ინფიცირებული ფაილები ან ცდილობენ ფორმატირება მყარ დისკზე. უკეთესი დატოვეთ მკურნალობა პროფესიული ანტივირუსული პროდუქტების მიმართ.

დასკვნა

რჩება დავამატებთ, რომ რეზიდენტ ვირუსებთან დაკავშირებული ძირითადი ასპექტები და მათთან ბრძოლის მეთოდები ზემოთ განხილულია. ყოველივე ამის შემდეგ, თუ გადავხედავთ კომპიუტერულ საფრთხეებს, ასე რომ გლობალურ გაგებაში ვსაუბრობთ, ყოველ დღე არსებობს ისეთი დიდი რაოდენობით, რომ უსაფრთხოების მექანიზმების დეველოპერებს უბრალოდ არ აქვთ დრო, რომ ახალი მეთოდებით მოვიდეს ასეთი უბედურების წინააღმდეგ ბრძოლა.