ไวรัสมีถิ่นที่อยู่: มันคืออะไรและวิธีการที่จะทำลาย ไวรัสคอมพิวเตอร์

ผู้ใช้ส่วนใหญ่อย่างน้อยหนึ่งครั้งในชีวิตของเขาต้องเผชิญกับแนวคิดของ ไวรัสคอมพิวเตอร์ แต่ไม่มากรู้ว่าการจัดหมวดหมู่ในพื้นฐานของภัยคุกคามที่ประกอบด้วยสองประเภทขนาดใหญ่: Non-resident และถิ่นที่อยู่ไวรัส ขอให้เราพิจารณาชั้นประถมศึกษาปีที่สองเพราะที่ตัวแทนของ บริษัท มีอันตรายมากที่สุดและบางครั้ง undeletable แม้โดยการจัดรูปแบบดิสก์หรือพาร์ทิชัน

เป็นไวรัสในหน่วยความจำหลักอะไร?

ดังนั้นสิ่งที่ผู้ใช้จัดการ? เพื่อให้ง่ายต่อคำอธิบายของโครงสร้างและหลักการของการดำเนินงานของไวรัสดังกล่าวจะเริ่มต้นคือการมุ่งเน้นที่การอธิบายว่าโปรแกรมมีถิ่นที่อยู่ในทั่วไป

เป็นที่เชื่อกันว่าสำหรับซอฟต์แวร์ประเภทนี้รวมถึงการใช้งานที่ทำงานอย่างต่อเนื่องในโหมดการตรวจสอบอย่างชัดเจนไม่แสดงการกระทำของคุณ (เช่นเดียวสแกนไวรัสปกติ) ในฐานะที่เป็นภัยคุกคามที่เจาะเข้าไปในระบบคอมพิวเตอร์ที่พวกเขาไม่เพียงแค่แขวนอย่างถาวรในหน่วยความจำของคอมพิวเตอร์ แต่ยังสร้างคู่ของตัวเอง ดังนั้นสำเนาของไวรัสอย่างต่อเนื่องและการตรวจสอบระบบและย้ายมันซึ่งทำให้ยากที่จะพบพวกเขา ภัยคุกคามบางคนยังสามารถเปลี่ยนโครงสร้างของตัวเองและการตรวจสอบของพวกเขาบนพื้นฐานของวิธีการแบบเดิมเป็นไปไม่ได้จริง เล็ก ๆ น้อย ๆ ต่อมาดูที่วิธีการกำจัดของไวรัสชนิดนี้ ในขณะที่มุ่งเน้นไปที่พันธุ์หลักของภัยคุกคามถิ่นที่อยู่

DOS ภัยคุกคาม

ในขั้นต้นเมื่อใช้ Windows หรือ UNIX เหมือนระบบยังคงไม่ได้อยู่และการสื่อสารของผู้ใช้กับคอมพิวเตอร์อยู่ในระดับการเรียนการสอนมี "ระบบปฏิบัติการ»ดอสนานพอที่จะยึดมั่นในจุดสูงสุดของความนิยม

และเป็นระบบดังกล่าวถูกตั้งขึ้นไวรัสถิ่นที่อยู่นอกถิ่นที่อยู่และผลที่ออกมาซึ่งเป็นครั้งแรกที่ผู้กำกับการผิดพลาดของระบบหรือลบไฟล์และโฟลเดอร์ที่กำหนดเอง

หลักการของการดำเนินงานของภัยคุกคามดังกล่าวซึ่งบังเอิญเป็นที่ใช้กันอย่างแพร่หลายเพื่อให้ห่างไกลที่พวกเขาตัดสายไปยังไฟล์แล้วติดเชื้อฟังก์ชันที่ถูกเรียก แต่ส่วนใหญ่ของภัยคุกคามที่เป็นที่รู้จักกันในวันนี้ทำงานภายใต้ประเภทนี้ แต่นี่คือไวรัสเจาะเข้าไปในระบบหรือโดยการสร้างโมดูลมีถิ่นที่อยู่ในรูปแบบของคนขับรถที่ระบุไว้ในแฟ้มการกำหนดค่าระบบที่ Config.sys หรือผ่านการใช้ฟังก์ชั่นพิเศษสำหรับการติดตามให้การขัดจังหวะ

สถานการณ์จะเลวร้ายยิ่งในกรณีที่หน่วยความจำหลักไวรัสชนิดนี้ถูกนำมาใช้สำหรับการจัดสรรพื้นที่หน่วยความจำระบบนั้น สถานการณ์เป็นเช่นนั้นไวรัสครั้งแรก "ตัด" ชิ้นส่วนของหน่วยความจำฟรีแล้วเครื่องหมายบริเวณนี้เป็นครอบครองแล้วเก็บสำเนาของตัวเองของมัน อะไรคือสิ่งที่น่าเศร้าที่สุดมีกรณีที่สำเนาอยู่ในหน่วยความจำวิดีโอและในพื้นที่ที่สงวนไว้สำหรับคลิปบอร์ดและตารางเวกเตอร์ขัดจังหวะและพื้นที่ปฏิบัติการ DOS

ทั้งหมดนี้ทำให้สำเนาของภัยคุกคามไวรัสจึงหวงแหนว่าพวกเขาแตกต่างจากไวรัสไม่ใช่ถิ่นที่อยู่ที่ทำงานจนกว่าการเรียกใช้โปรแกรมบางส่วนหรือการดำเนินงานฟังก์ชั่นระบบสามารถใช้งานได้อีกครั้งแม้หลังจากรีบูต นอกจากนี้เมื่อมีการเข้าถึงวัตถุที่ติดเชื้อไวรัสจะสามารถสร้างสำเนาของคุณเองแม้จะอยู่ในหน่วยความจำ เป็นผล - ทันที หยุดคอมพิวเตอร์ เป็นที่ชัดเจนการรักษาของไวรัสชนิดนี้จะต้องดำเนินการด้วยความช่วยเหลือของสแกนเนอร์พิเศษและมันเป็นที่พึงปรารถนาไม่นิ่งและแบบพกพาหรือผู้ที่มีความสามารถในการบูตจากไดรฟ์ออปติคอลหรือ USB ไดรฟ์ แต่เพิ่มเติมเกี่ยวกับในภายหลังว่า

ภัยคุกคามบูต

ไวรัส Boot เจาะเข้าไปในระบบโดยวิธีการที่คล้ายกัน นั่นเป็นเพียงพวกเขาประพฤติสิ่งที่เรียกว่าประณีตครั้งแรก "กิน" ชิ้นส่วนของหน่วยความจำระบบ (ปกติ 1 KB แต่บางครั้งตัวเลขนี้อาจจะสูงถึงสูงสุด 30 กิโลไบต์) แล้วสั่งจ่ายยาให้กับรหัสของตัวเองในรูปแบบของการคัดลอกและจากนั้นเริ่มต้นที่จะต้องรีบูต มันจะเต็มไปด้วยผลกระทบเชิงลบเพราะหลังจากรีสตาร์ทไวรัสเรียกคืนหน่วยความจำลดลงไปขนาดเดิมและสำเนาที่อยู่นอกระบบหน่วยความจำ

นอกเหนือไปจากการติดตามการหยุดชะงักของไวรัสดังกล่าวสามารถที่จะกำหนดรหัสของตัวเองในบูตเซกเตอร์ (บันทึก MBR) ใช้ไม่บ่อยดัก BIOS และ DOS และไวรัสที่ตัวเองจะถูกโหลดครั้งเดียวโดยไม่ตรวจสอบสำหรับสำเนาของตัวเอง

ไวรัสใน Windows

กับการถือกำเนิดของการพัฒนาไวรัสที่ใช้ Windows ระบบได้ถึงระดับที่น่าเสียดาย วันนี้มันเป็นรุ่นใด ๆ ของ Windows จะถือว่าเป็นระบบที่เปราะบางที่สุดแม้จะมีความพยายามที่ทำโดยผู้เชี่ยวชาญด้านไมโครซอฟท์ในการพัฒนาโมดูลความปลอดภัย

ไวรัสที่ออกแบบบน Windows, ทำงานบนหลักการคล้ายกับ DOS คุกคามวิธีเดียวที่จะเจาะคอมพิวเตอร์มีมากขึ้น ที่พบมากที่สุดสามหลักซึ่งในไวรัสอาจกำหนดระบบรหัสของตัวเอง:

• การลงทะเบียนของไวรัสเป็นโปรแกรมที่ทำงานในปัจจุบัน
• การจัดสรรบล็อกของหน่วยความจำและเขียนสำเนาของตัวเอง;
• ทำงานในระบบภายใต้หน้ากากหรือไดรเวอร์ VxD ปลอมภายใต้โปรแกรมควบคุม Windows NT

ไฟล์ที่ติดไวรัสหรือพื้นที่หน่วยความจำระบบในหลักการสามารถรักษาให้หายขาดโดยวิธีการแบบเดิมที่ใช้ในการ สแกนเนอร์ป้องกันไวรัส (หน้ากากตรวจหาไวรัสเปรียบเทียบกับฐานข้อมูลของลายเซ็นและอื่น ๆ . D. ) แต่ถ้าใช้โปรแกรมฟรีโอ้อวดพวกเขาไม่สามารถระบุไวรัสและบางครั้งก็ให้บวกปลอม ดังนั้นคานใช้เครื่องมือแบบพกพาเช่น "หมอเว็บ" (โดยเฉพาะอย่างยิ่งดร. เว็บ CureIt!) หรือผลิตภัณฑ์ "Kaspersky Lab" แต่วันนี้คุณสามารถพบมากของเครื่องมือประเภทนี้

ไวรัสแมโคร

ก่อนที่เราคือความหลากหลายของภัยคุกคามอื่น ชื่อนี้ได้มาจากคำว่า "มาโคร" คือแอปเพล็ปฏิบัติการหรือเพิ่มที่ใช้ในการแก้ไขบางส่วน มันไม่น่าแปลกใจว่าการเปิดตัวของเชื้อไวรัสที่เกิดขึ้นในช่วงเริ่มต้นของโปรแกรม (Word, Excel, และอื่นง.) เปิดเอกสาร Office พิมพ์โทรรายการเมนู, และอื่น ๆ . เอ็น

ภัยคุกคามดังกล่าวในรูปแบบของระบบแมโครจะถูกเก็บไว้ในหน่วยความจำสำหรับการแก้ไขเวลาทำงานทั้งหมด แต่โดยทั่วไปถ้าเราพิจารณาคำถามของวิธีการกำจัดไวรัสชนิดนี้, การแก้ปัญหาค่อนข้างง่าย ในบางกรณีก็จะช่วยได้ปกติปิดใช้งาน Add-on หรือแมโครในการแก้ไขเช่นเดียวกับการเปิดใช้งานแอปเพล็ป้องกันไวรัสที่ไม่ได้พูดถึงการตามปกติได้อย่างรวดเร็วระบบสแกนแพคเกจโปรแกรมป้องกันไวรัส

ไวรัสบนพื้นฐานของเทคโนโลยี "ชิงทรัพย์ที่"

ตอนนี้ดูที่ไวรัสปลอมตัวก็ไม่น่าแปลกใจที่พวกเขาได้มาจากชื่อของเครื่องบินชิงทรัพย์

สาระสำคัญของการทำงานของพวกเขาประกอบด้วยแม่นยำในความจริงที่ว่าพวกเขานำเสนอตัวเองว่าเป็นส่วนประกอบของระบบและตรวจสอบวิธีการเดิมของพวกเขาบางครั้งอาจเป็นเรื่องยากพอ ท่ามกลางภัยคุกคามเหล่านี้สามารถพบและแมโครไวรัสและภัยคุกคามบูตและ DOS ไวรัส เป็นที่เชื่อว่าไวรัสชิงทรัพย์ของ Windows ยังไม่ได้รับการพัฒนาแม้ว่าผู้เชี่ยวชาญหลายคนเถียงว่ามันเป็นเพียงเรื่องของเวลา

พันธุ์ไฟล์

โดยทั่วไปไวรัสทั้งหมดสามารถเรียกไฟล์เพราะพวกเขาอย่างใดส่งผลกระทบต่อระบบไฟล์และทำหน้าที่เกี่ยวกับไฟล์หรือติดไวรัสพวกเขาด้วยรหัสของตัวเองหรือการเข้ารหัสหรือทำให้ไม่สามารถเข้าถึงได้เนื่องจากการทุจริตหรือลบ

ตัวอย่างที่ง่ายที่สุดคือ coders ทันสมัยไวรัส (ปลิง) และที่น่าอับอาย I Love You พวกเขาผลิตป้องกันไวรัสที่ไม่ได้เป็นสิ่งที่เป็นเรื่องยากโดยไม่ต้องคีย์ rasshifrovochnyh พิเศษและมักจะเป็นไปไม่ได้ที่จะทำ แม้นักพัฒนาชั้นนำของซอฟต์แวร์ป้องกันไวรัสที่ไม่สามารถทำอะไรยักเพราะแตกต่างจากระบบการเข้ารหัส AES256 วันนี้แล้วใช้เทคโนโลยี AES1024 คุณเข้าใจดีว่าในการถอดเสียงอาจใช้เวลามากกว่าทศวรรษที่ผ่านมาขึ้นอยู่กับจำนวนของคีย์ผสมที่เป็นไปได้

ภัยคุกคาม polymorphic

สุดท้ายความหลากหลายของภัยคุกคามอื่นซึ่งใช้ปรากฏการณ์ของความแตกต่าง มันคืออะไร? ความจริงที่ว่าไวรัสจะมีการเปลี่ยนแปลงรหัสของคุณเองและนี้จะทำบนพื้นฐานของสิ่งที่เรียกว่าคีย์ลอย

ในคำอื่น ๆ หน้ากากเพื่อระบุภัยคุกคามที่เป็นไปไม่ได้เพราะเท่าที่เห็นแตกต่างกันไปโดยไม่เพียง แต่รูปแบบขึ้นอยู่กับรหัส แต่ยังเป็นกุญแจสำคัญในการถอดรหัส ถอดรหัสพิเศษ polymorphic (Transcribers) จะใช้ในการจัดการกับปัญหาดังกล่าว อย่างไรก็ตามในขณะที่แสดงให้เห็นว่าการปฏิบัติของพวกเขาจะสามารถที่จะถอดรหัสเฉพาะไวรัสที่ง่ายที่สุด ขั้นตอนวิธีการที่ซับซ้อนมากขึ้น แต่น่าเสียดายที่ในกรณีส่วนใหญ่ผลกระทบของพวกเขาไม่สามารถ นอกจากนี้เรายังควรจะพูดว่าการเปลี่ยนแปลงของรหัสไวรัสจะมาพร้อมกับการสร้างสำเนาของความยาวของพวกเขาลดลงซึ่งอาจแตกต่างจากเดิมที่มีความสำคัญมาก

วิธีการจัดการกับภัยคุกคามถิ่นที่อยู่

สุดท้ายเราหันไปปัญหาของการต่อสู้กับไวรัสมีถิ่นที่อยู่และปกป้องระบบคอมพิวเตอร์ของความซับซ้อนใด วิธีที่ง่ายที่สุดในพระบรมราชูปถัมภ์ได้รับการพิจารณาการติดตั้งแพคเกจป้องกันไวรัสเต็มเวลาที่ใช้เพียงดีที่สุดคือไม่ซอฟต์แวร์ฟรี แต่อย่างน้อยแชร์ (ทดลอง) เวอร์ชั่นจากนักพัฒนาเช่น "เว็บหมอ", "Kaspersky Anti-Virus" ที่ ESET NOD32 และโปรแกรมประเภทสมาร์ทการรักษาความปลอดภัย หากผู้ใช้มีการทำงานอย่างต่อเนื่องกับอินเทอร์เน็ต

แต่ในกรณีนี้ไม่มีใครเป็นภูมิคุ้มกันจากภัยคุกคามที่ไม่ได้เจาะไปยังคอมพิวเตอร์ ถ้าเป็นเช่นนั้นสถานการณ์เช่นนี้ได้เกิดขึ้นเป็นครั้งแรกควรใช้สแกนเนอร์แบบพกพาและมันจะดีกว่าที่จะใช้สาธารณูปโภคดิสก์กู้ภัยดิสก์ พวกเขาสามารถใช้ในการบูตอินเตอร์เฟซโปรแกรมและการสแกนก่อนการเริ่มต้นของระบบปฏิบัติการหลัก (ไวรัสสามารถสร้างและจัดเก็บสำเนาของตัวเองในระบบและแม้จะอยู่ในหน่วยความจำ)

และอีกครั้งก็จะไม่แนะนำให้ใช้ซอฟต์แวร์เช่น SpyHunter แล้วภายหลังจากแพคเกจและส่วนประกอบที่เกี่ยวข้องในการกำจัดของผู้ใช้ฝึกหัดจะมีปัญหา และแน่นอนไม่เพียงแค่ลบไฟล์ที่ติดเชื้อหรือพยายามที่จะจัดรูปแบบฮาร์ดไดรฟ์ ดีกว่าที่จะปล่อยให้รักษาระดับมืออาชีพผลิตภัณฑ์ป้องกันไวรัส

ข้อสรุป

มันยังคงที่จะเพิ่มที่ดังกล่าวข้างต้นพิจารณาเฉพาะประเด็นหลักที่เกี่ยวข้องกับไวรัสมีถิ่นที่อยู่และวิธีการที่จะต่อสู้กับพวกเขา เพราะหากเรามองไปที่ภัยคุกคามคอมพิวเตอร์เพื่อที่จะพูดในความหมายทั่วโลกทุกวันมีจำนวนมากของพวกเขา, การเยียวยานักพัฒนาก็ไม่ได้มีเวลาที่จะเกิดขึ้นกับวิธีการใหม่ในการจัดการกับความทุกข์ยากดังกล่าว