Ismeretlen vírusok felismerésére
Ismeretlen vírusok felismerésére
Ez a rész leírja helyzeteket, amit esetleg felmerülő abban az esetben, azt gyanítja, hogy a számítógép vírussal fertőzött, de egyik sem az ismert anti-vírus programokat, nem ad pozitív eredményt. Hol és hogyan kell keresni a vírus? Ami ebben az esetben szükséges eszközöket, milyen módszereket kell alkalmazni, és milyen szabályokat kell követni?
A legelső szabály - ne essen pánikba. Nem jó, hogy nem. Te - nem az első és nem is az utolsó, akinek számítógépén úgy tűnt, hogy fertőzött ugyanaz, nem minden számítógép meghibásodása az megnyilvánulása a vírus. Ezért gyakrabban emlékeznek a mondás - „Nem olyan ördög, mint amilyennek festik.” Sőt, a vereség a vírus nem a legrosszabb dolog, ami történhet, hogy egy számítógép.
Ne felejtsd el használni a vírusirtó programok és segédprogramok bootolni a mentés a DOS, található egy ismert tiszta vírusok és írásvédett floppy lemez, és továbbra is használják a programot csak a floppy lemezek. Erre azért van szükség annak érdekében, hogy biztosítsák ellen rezidens vírus, mert elzárhatják a munkaprogramok vagy használatát a munka a fertőzés ellenőrzött fájlok / lemezeket. Sőt, van egy nagy számú vírusok, amelyek elpusztítják az adatok a lemezen, ha „gyanús”, hogy a kód lehet kimutatni. Természetesen ez a követelmény nem vonatkozik a makróvírusokra és hajtások egyik új jelölési formátumra (NTFS, HPFS), - miután a DOS boot a merevlemez nem érhető el a DOS-os programok.
A felfedezés egy boot vírus
A rendszerindító szektorok találhatók, mint általában, a kis programok, amelynek az a célja, hogy meghatározza a méretét és határait logikai meghajtók (az MBR), vagy egy boot operációs rendszer (boot-sector).
Az elején el kell olvasni a tartalmát a szektor, a gyanúsított jelenlétében a vírus. Erre a célra célszerű használni DISKEDIT a „Norton Utilities” vagy AVPUTIL szakmai kit AVP.
Néhány boot vírusok mutatható szinte azonnal a jelenléte számos szöveges adatsort (például „Stoned” vírus tartalmazza a következő sorokat: „A PC most Stoned!”, „Legalizálni marihuána”). Egyes vírusok fertőzésére boot lemezszektorokat, ezzel szemben határozza meg hiányában vonalak jelen kell lennie a boot-szektor. Ezek a vonalak a nevét a rendszerfájlok (például a húr „IO SYSMSDOS SYS”), és a hibaüzenetek. A hiánya vagy módosíthatja a fejlécben-boot-szektor (a string, amely a verziószámát DOS vagy a gyártó neve szoftver, például „MSDOS5.0” vagy „MSWIN4.0”) is lehet a jele, vírusfertőzés, ha nem azon a számítógépen telepített Windows 95 / NT - ezek a rendszerek számára ismeretlen okok miatt nekem rögzíteni a fejlécben a boot szektor floppy lemezek véletlen karakterláncokra.
Szabványos MS-DOS boot loader található a MBR-t, kisebb helyet foglal, mint a fele az ágazatban, és sok vírus megfertőzheti az MBR-t, egyszerűen által látott növekedése kód hosszát, amelynek székhelye az MBR szektorban.
Vannak azonban olyan vírusok, amelyek be a rakodó megváltoztatása nélkül szöveges karakterláncot és minimális változtatásokat bootloader kódot. Észlelni, mint egy vírus, a legtöbb esetben a méret elég lemezt egy ismert fertőzött számítógépen, mentse el a fájlt boot-sector, majd egy kis időt, hogy használja azt a fertőzött számítógépen (író / olvasó több fájl), majd egy nem fertőzött gépen összehasonlítani a boot-sector az eredeti. Ha voltak változások a kódot a boot szektor - a vírust fogott.
Ezek az érvek a tényen alapul, hogy a standard rakodógépek (programok, rögzített operációs rendszer boot szektor) végrehajtja szabványos operációs rendszer boot algoritmusok és végrehajtása megfeleljen a szabványoknak. Ha a meghajtó formázása közművek, nem része a DOS (például Disk Manager), akkor a vírus észlelésére bennük kell elemezni, és az algoritmus végrehajtása rakodók által termelt ez a típus.
Kimutatása a vírus fájl
Mint fentebb említettük, a vírusok vannak osztva a rezidens és nem-rezidens. Megfelel még rezidens vírusok különbözött sokkal finomság és kifinomult, mint a nem-rezidens. Tehát először azt a legegyszerűbb esetben - a vereség az ismeretlen számítógépes vírus nem honos. Egy ilyen vírus aktiválódik, amikor elkezd bármely fertőzött programot, mindent megtesz azért állítólag szerint a gazda program jövőbeli (ellentétben rezidens vírusok) nem zavarja a munkáját. Észlelni, mint egy vírus szeretné összehasonlítani a hossza a fájlokat a merevlemezen és forgalmazás másolat (említést annak fontosságát, hogy az ilyen másolatok vált általánossá). Ha ez nem segít, akkor össze kell hasonlítani az elosztó másolat byte használt programokat. Jelenleg van egy csomó közművek ilyen fájl összehasonlítás a legegyszerűbb közülük (COMP segédprogram) tartalmazza a DOS.
Van egy másik módja annak, hogy vizuálisan azonosítani vírussal fertőzött DOS-fájlt. Ez azon a tényen alapul, hogy a futtatható fájlokat, melyek írt forráskód magas szintű nyelven, van egy jól meghatározott szerkezete van. Abban az esetben, Borland és a Microsoft C / C ++ kód szegmens elején a fájlt, és közvetlenül mögötte - adatszegmensben, és az elején ebben a szegmensben kell vonali szerzői fordító gyártó. Ha egy ilyen fájlt a lerakó az adatok szegmens után egy másik kódrészlet, akkor valószínű, hogy a fájl vírussal fertőzött.
Ugyanez igaz a legtöbb vírusok fertőzik a Windows fájlokat és az OS / 2. Ezekben OS futtatható standard célja, hogy helyezze a szegmensek a sorrendben szegmens (ek) a kód, majd adatszegmensek. Ha az adatok egy szegmens egy kód szegmens, akkor is jelzi a jelenlétét a vírus.
Meg kell jegyezni, hogy a rezidens DOS-blokkolók gyakran tehetetlenek, ha dolgozik a DOS-ablak alatt Windows95 / NT, mert Windows95 / NT lehetővé teszi, hogy a vírus „körül” dolgoznak blokkolók (mint, sőt, és minden más rezidens programok). DOS-dlokirovschiki is képes megállítani a terjedését a Windows-vírusok.
A fenti módszerek kimutatására fájlt, és boot vírusok alkalmasak a legtöbb mind a belföldi és a külföldi illetőségű vírusok. Azonban ezek a módszerek nem működnek, ha a vírus által „lopakodó” technológiával, amely igénybe veszi a leghaszontalanabb rezidens blokkolók, file összehasonlítás közüzemi ágazatban és az olvasás.
makró vírusok tipikus megnyilvánulásai a következők:
- Szó: képtelenség konvertálni fertőzött Word dokumentumot más formátumba.
- Szó: a fertőzött fájlokat egy méret sablon (template), mert amikor a fertőző vírusok Word átalakítani a fájlokat a Word Document formátum sablon.
- Csak a Word 6: képtelenség, hogy mentse a dokumentumot egy másik könyvtárba / másik meghajtón a „Mentés másként” parancsot.
- Excel / Word: a startup-könyvtár tartalmazza az "idegen" fájlokat.
- Excel verziók 5. és 7.: jelenléte a Book (Könyv) extra és rejtett Lapok (lemezek).
Hogy ellenőrizze a rendszer a vírusokat, akkor a Tools / Macro menüpontot. Ha vannak olyan „idegen makrók” hogy tartozik a vírust. Azonban ez a módszer nem működik abban az esetben, lopakodó vírusok, amely tiltja a működését ez a menüpont, ami viszont egy elég ok arra, hogy a rendszer fertőzött.
Sok vírusok hibákat, vagy nem megfelelően működnek a különböző Word / Excel változat, ami a Word / Excel hibaüzenetet jelenít meg, mint például:
Ha ez az üzenet jelenik meg, amikor parancsot egy új dokumentumot vagy táblázatot, és bár nyilván nem használható olyan egyéni makrók, akkor is lehet a fertőzés egyik jele a rendszer.
Jel a vírus is változik fájlokat és a rendszer konfigurációs Word, az Excel és a Windows. Sok vírus semmilyen módon nem változtatja meg az Eszközök menü opciók / beállítások - Engedélyezi vagy letiltja „rákérdez, hogy menteni Normál sablon”, „lehetővé teszi a gyors mentése”, „Virus Protection”. Egyes vírusok meg egy jelszót a fájlokat, míg megfertőző őket. Számos vírus létrehoz egy új szakasz és / vagy beállítások a Windows konfigurációs fájl (WIN.INI).
Kimutatása a rezidens vírus
Ha a számítógép nyomokat talált vírus aktivitása, de látható változások fájlokat és a rendszer ágazatokban a lemez nem figyelhető meg, ez elég lehet, hogy a számítógép által sújtott egyik „lopakodó” -virusov. Ebben az esetben meg kell indítani DOS nyilván rajta vírus lemezt tartalmazó biztonsági másolatot DOS és a jogszabály, valamint a vereség nem rezidens vírus. Néha azonban ez nem kívánatos, és bizonyos esetekben nem lehetséges (ismert, például a vásárlás esetén új számítógépet fertőzött a vírussal). Ezután meg kell kimutatni és semlegesíteni a rezidens része a vírus által készített „lopakodó” technológiával. Felmerül a kérdés: hol a memóriában, és hogyan kell keresni a vírus vagy a rezidens része? Számos módja van a memória fertőzés.
1. A vírus settenkedik megszakításvektorok asztal
A vírus jelenlétét a megszakítási vektort asztalra, segédprogram, amely bemutatja a memória térkép (például AVPTSR.COM, AVPUTIL.COM), kezdenek „zaj”.
2. A vírus képes integrálni többféleképpen DOS: egy tetszőleges rendszer vezető, a vágólapra, DOS, a másik munkaterületre (például egy rendszer verem régióban vagy egy szabad hely, és a DOS BIOS táblázatok)
A vírust helyezünk a rendszer puffer csökkentenie kell a teljes számát pufferek; egyébként meg kell semmisíteni a későbbi műveletek olvasni a lemezről. Ez elég könnyű, hogy írjon egy programot, amely megszámolja, pufferek ténylegesen jelen van a rendszerben, és összehasonlítja az eredményt a ÜTKÖZŐK parancs értékét, fájlban található CONFIG.SYS (ha ÜTKÖZŐK parancs hiányzik, az érték által alapértelmezés szerint használt DOS).
3. A vírus behatol a régió programok formájában:
- külön TSR vagy önálló memóriablokk (MCB);
- belsejében vagy a „ragasztott” minden rezidens programokat.
4. A vírus képes behatolni a memória korlátoz kiosztott DOS
Figyelem! Memória kapacitása csökkenthető egy vagy több kilobájt és a kiterjesztett memória, vagy valamilyen típusú vezérlők. Ebben az esetben, a tipikus minta a következő: a „cut off” része a tartalmát a többsége nulla bájt.
5. A vírus lehet a betonba ágyazott, nyilván rezidens programokat vagy „bot”, hogy a meglévő memória blokkok
Valószínűleg fertőzött DOS fájl vírus rezidens (például io.sys, MSDOS.SYS, COMMAND.COM) betöltött vezető (ANSY.SYS, COUNTRY.SYS, RAMDRIVE.SYS), és mások. Hogy úgy érzékeli, vírus sokkal nehezebb, mert az alacsony a terjedési sebesség, de ugyanakkor a valószínűsége a támadás ez a vírus jóval kevesebb. Egyre elkezdtek randizgatni „trükkös” vírusok amelyek módosítják a fejlécek memória blokkok vagy a „csaló” DOS úgy, hogy a blokk-kódok a vírussal eggyé válik az előző memória blokk.
Ismert vírusok, amelyek, ha a fertőzött fájlokat, vagy lemezek ne használjon megszakításokat, és munkát közvetlenül DOS források. Ha keres egy ilyen vírus gondosan meg kell vizsgálni a változások a belső szerkezete a fertőzött DOS: Drivers listában fájltábla, DOS halom stb Nagyon kemény munka, és mivel a nagy számú változat a DOS, szükség van egy nagyon magas képzettségi a felhasználó.
Detection rezidens Windows vírus egy nagyon nehéz feladat. A vírus míg egy Windows alkalmazás, vagy egy VxD-dvayver gyakorlatilag láthatatlan, mint az aktív egyszerre több tucat alkalmazás és a VxD, és a vírus jelenik meg az arcán tőlük nem különbözik. Víruskimutatásra program aktív alkalmazások listájának és a VxD, alaposan meg kell ismerik a „belső” Windows, és egy teljes megértése a vezetők és az alkalmazásokat a számítógépre telepített.
Ezért az egyetlen elfogadható módja, hogy utolérjék rezidens Windows-vírus - tölteni a DOS és a Windows futtatásához ellenőrzés módszere fájlokat, a fent leírtak szerint.