所有有关计算机病毒- 2
在所有有关计算机病毒, Tumanual为您提供这些详细的信息 ,类型,威胁,伤害,柔软,你想知道他们的一切。
伪装二:在1993年首次出现。 它感染软盘的引导扇区位于驱动器和硬盘分区表。 这是很简单,容易被察觉。
麻风病人:创建于1993年在罗萨里奥,圣达菲。 启动于1月12日(撰文生日),并带来了一个消息,说:恭喜,您的机器感染由太平绅士麻疯创建病毒。 今天是我的生日,我将庆祝格式化您的驱动器。 再见......(我们纽厄尔“我们是冠军迭戈)。
pindonga:驻留在内存中的多态性病毒被激活25月,3月21日,27日8月和9月16日,当他攻击,删除硬盘驱动器上包含的所有信息。
林宏:阿根廷是第一个交互式的病毒。 最近出现的。 它感染的EXE文件,特点是通过一系列问题的用户。
一旦被激活,屏幕显示:林宏,第一个交互式计算机病毒!
回答下列问题:你使用原来的方案是(S / N),微软是盗贼(S / N)
如果第一个问题的答案,该病毒会回答:5个文件,除非是骗子
否则:2文件少了一个小偷。 关于第二个问题,一直被视为唯一的消息是:
我再给你一次机会,反应良好。 这种病毒,受感染的文件大小增加,在4310个字节。
什么是病毒?
有一些程序,不被病毒,导致用户的问题。
这些非病毒缺乏至少有三个确定病毒的特点(有害,自我复制和诡秘)之一。
一个例子- 这些非病毒:若干年前,IBM公司,负责连接130多个国家,网络几乎瘫痪在电子邮件消息包含节日问候,一旦读饱和收件人本人被发送到每个用户的邮件列表的成员。 经过一段时间,这么多的消息,等待被他们的收件人阅读的交通变得过高,造成网络中断。
这也不用说,不是万能的,干扰计算机正常运作不一定是病毒。
所以给一些主要准则来区分应该引起我们的关注什么,为什么不:
臭虫(程序错误)。
错误是没有病毒,病毒是不是错误。 我们所有的使用方案,有严重的错误(错误)。 如果你很长一段时间的工作具有非常大的文件,最终的东西可能开始走在错误的程序,并拒绝文件保存到磁盘。 然后,它失去了最后的录音以来所做的一切。 这一点,在很多情况下是由于程序中的错误。 所有的程序都足够复杂的错误。
虚惊一场。
有时候,我们有我们的硬件或软件的问题,一系列的检查后,我们得出这样的结论:它是一种病毒,但我们有我们的防病毒程序运行后的假警报。
不幸的是,通过指导没有严格的规则,但回答下列问题可能会有所帮助:
是它只是一个文件,报告虚惊一场? 或者几个,但它的副本。
这是唯一的防病毒产品报告报警呢? 其他产品说系统是干净的。
不运行多个产品后表示虚惊一场,但不开机后,不运行任何程序。
如果至少有一个我们的答案是肯定的,这是非常有可能的,这的确是一场虚惊。
腐败计划。
有时,一些文件被意外损坏,可能是由于硬件问题。 这意味着,每当我们没有发现文件损坏,我们是被感染。
什么是病毒?
有没有任何疾病的治疗,也不是有办法,以消除任何和所有现有的病毒。
重要的是要注意,每个病毒是一个程序,每一个程序将工作正确的只有充足和良好配置。 此外,病毒是一种工具,为用户,不仅不会是100%的情况下有效,但从来没有一个完整的保护或决赛。
该功能是检测防病毒程序,不知何故,计算机病毒的存在或行动电脑上。 这是一个病毒的最重要的方面,不论它可以提供额外的好处,因为检测可能存在的病毒的行为,停止工作,并采取必要的步骤,一个良好的比例不够窄可能造成的损害。 此外,病毒可以消除了病毒感染的计算机实体的选项。
该模型的主要功能是防病毒程序检测到它们的存在,如果可能的话,鉴定。 第一个技术,成为流行的计算机病毒检测,并仍在使用(虽然越来越少,效率),是扫描技术。 这种技术是检讨的存储单元,主要的可执行文件,寻找可能属于计算机病毒的一小部分代码,所有文件的代码。 这个过程中,被称为扫描件代表每个已知病毒的代码从数据库中包含执行,添加使用一定的算法,加快搜索过程。
扫描技术在计算机病毒的初期是相当有效的,很少有和他的生产是小。 这种病毒的相对体积小,允许开发的防病毒扫描仪有时间去分析病毒,删除代码的小块,将确定并把它添加到数据库计划推出一个新版本。 然而,作为一个完整的防病毒解决方案的机制,这种识别过时,被发现在相同的模型。
第一本系统的严重点是,它总是提供了一个解决方案的事实后,病毒达到相当程度的分散发送(由经过培训的用户,专家和分销商的产品)杀毒软件开发商,它是必要的。 他们分析,提取,将确定,包括在您的防病毒程序的下一个版本,它的代码段。 这个过程可能需要数月时间,从病毒开始的时候有一个相当分散,在此期间,可能会导致严重损坏,不能够被识别。
此外,该模型由一个无限序列的部分解决方案和瞬间(其总和却是一个明确的解决方案),其中必须定期更新,由于新病毒的出现。
总之,扫描技术是非常低效的,但仍然被使用,因为它快速识别已知病毒的存在,因为这些都是较为分散,允许范围的可能性显着。
这个类病毒的一个典型的例子是Viruscan迈克菲,这将在下文讨论。
下过早耗尽了先进的技术扫描,防病毒软件开发商都赋予了他们的创作方法,以寻找不明确识别病毒的计算机病毒(活动),但它的一些一般特征和普遍化的行为。
这种跟踪方法例程不能由用户控制信息变更,改变在关键部门的存储单元(主引导记录,引导扇区,脂肪等),等等。
这种方法的一个例子是使用启发式算法。
事实上,这种搜索程序,相当有效率,指令代码可能属于计算机病毒。 它是检测已知病毒的有效方法,是使用防病毒软件检测新病毒的解决方案之一。 这种类型的算法的缺点是,它可以达到很多事情,是不是病毒的嫌疑。 这需要操作系统的结构,用户使用它的人知道一点,才能有工具,以方便启发式方法产生任何误报的歧视。
一些这一类的病毒是F-PROT,Norton AntiVirus和所罗门博士“的工具包。
现在,另一种方法来检测病毒的存在,在一个系统,以监测表明,如果一个进程试图修改存储设备或可执行文件的关键部门的电脑活动。 执行此任务的方案,被称为完整性检查。
基于这些考虑,我们应组成的病毒探测器,它始终驻留在内存中,一个程序,验证硬盘和可执行文件的关键部门的完整性,一个好的防病毒系统的记录。 有防病毒产品,包括两个方面,或者使他们之间没有冲突,他们可以结合不同的产品配置。
型号杀毒:
防病毒程序的结构,由两个主要模块:第一控制和要求作出回应的第二。 反过来,每个被分成几个部分:
控制模块:它具有完整性验证技术允许在一个硬盘中的可执行文件和关键领域的变化记录。 最终,这是一种预防性的工具,以保持和控制硬盘驱动器的信息不被修改,除非用户需要的组件。
在此模块的另一种选择是,以确定该病毒,其中包括各种计算机病毒检测技术。 最常见的是,如启发式,扫描和检测算法。
此外,识别恶意代码是另一种检测工具,在这种情况下,危险的前瞻性陈述包括在硬盘上的信息的完整性方案。
这意味着编译(或拆卸)自动定位文件存储的句子或危险的指令组。
最后,控制模块,也有一个资源管理的程序,通过它可以访问计算机硬件(磁盘访问等)进行监测。 这种方式可以限制通过限制使用这些资源,如防止访问磁盘的关键领域的写作或阻止它们运行在相同的格式的功能的程序的行动。
模块答案:报警功能,包括在所有防病毒程序和行动之前停止怀疑存在病毒系统,通过屏幕上的通知和报告情况。
一些防病毒程序的报价,一旦发现的计算机病毒,根除的可能性。 因此,修复功能是用来作为一个临时解决方案,以维持,直到一个合适的解决方案可能仪表系统的可操作性。 另一方面,也有两种技术,以防止可执行实体蔓延,避免整个程序或超出一个固定的水平蔓延,防止感染。
虽然第一个选择是最合适的,实施的主要问题。
检测和预防。
由于计算机病毒正变得越来越复杂的今天,是很难通过性能的损失,如症状怀疑它的存在。 不管怎样,下面是一个被怀疑是由一些最常见的病毒,被感染的计算机上看到的症状的列表:
较慢的加工业务。
程序需要更长的时间来载入。
节目开始在次访问软盘驱动器和/或硬盘驱动器。
不合理的减少上,不断或突然的硬盘和RAM内存的可用空间。
发生未知的内存驻留程序。
第一个预防措施,要考虑的是,如上所述,有防病毒系统,并正确使用它。 因此,唯一的办法,构成一个有效的块,用一定的规则和程序的病毒。 这些规则倾向于控制输入文件到计算机的硬盘,这是反病毒检查所有磁盘或存储介质一般,当然,最大限度地减少可能所有的流量实现。
此外,使用防病毒系统和交通控制文件到硬盘驱动器,一个相当有效的方式保护losarchivos可执行使用完整性检查,以确认这些文件是不会被修改,即,以保持它们的结构。 因此,才可以由传统的病毒寄生,会阻止其行动。
为了防止感染了引导扇区病毒,最好不要忘记留在软盘驱动器和启动了防病毒的软盘。 还可以利用一个特点,采用了最现代化的电脑安装的第一台PC的硬盘驱动器的引导顺序,然后驱动器(C)。 因此,计算机不会尝试读取即使加载软盘驱动器在启动时。
发送防病毒程序的一些经销商或代表阿根廷新病毒产品开发的研究样本,或包括在他们的新版本或升级,延迟,这就需要。
因此,扫描和检查活动和完整性检测的替代是非常重要的,因为他们可以检测病毒的存在,而不需要确定。 这是唯一的方式提供给用户检测新的病毒,无论是国内还是国外。
然而,有一种方法来更新扫描技术。 它是将病毒文件包含ASCII字符串的代码块(串)显着的重要部门的每一个新的病毒,是不是已经进入程序数据库建成。
然而,这一解决方案将成为部分:进入新的字符串只能识别病毒,但无法根除它。
这是重要的,将被纳入到该病毒的字符串从可靠的来源,因为,否则,可能会导致误报或无效。
一些防病毒程序,支持添加字符串质量Viruscan的F-PROT和Thunderbyte的。
在NCSA(美国国家计算机安全协会,国家计算机安全)认证杀毒软件生产商负责。
要获得此认证,产品必须通过一系列严格的测试,以确保用户有足够的保护。
以前被检测认证要求(包括版本号),90%的病毒库NCSA的设计,以确保最佳的检测能力。 但这种做法并不完全有效的。
目前,认证制度,重点对商用电脑的威胁。 获得认证的产品必须通过以下测试:
必须检测100%的常见病毒。 常见的病毒清单将定期更新新的病毒被发现。
应检测NCSA的病毒库中至少有90%(6000多个病毒)
这些测试的产品,其默认设置运行。
一旦产品已通过认证,在NCSA将尝试重新认证的产品至少四次。 每一个试图进行程序开发,恕不另行通知。 这是一个很好的方式,以确保产品符合认证标准。
如果一个产品失败的第一或第二次测试,您的经销商将有七天提供的修正。 如果超过这一时限,产品认证的产品清单将被删除。
一旦认证已撤回产品,只有这样,才能恢复,经销商发送一个完整的认证版本(不只是接受修复失败。
关于NCSA的病毒列表中,我们澄清任何防病毒软件开发商能获得一份拷贝。 当名单上的防病毒无法检测到病毒,确定该病毒的一个字符串,他被送到列入在未来版本的杀毒生产者。
在多态病毒的情况下,包括病毒的多个副本,以确保测试的产品是完美的检测。 要通过此测试的杀毒软件应该检测每一个病毒的突变。
AVPD(病毒产品的开发,防病毒产品的开发)是一个部门,其中有著名的计算机公司的关联:
夏安软件
IBM公司
英特尔
迈克菲公司
技术
斯蒂勒研究公司
S&S的国际
赛门铁克公司
Thunderbyte
一些杀毒软件。
博士 所罗门的防病毒工具包。
NCSA的认证。 它可以检测超过6500病毒由于其自己的语言称为VirTran检测的检出率比传统的防病毒软件高出3至5倍。
S&S的的é广东技术的最新发展之一。 (通用解密档案的发动机,通用解密引擎)来检测多态性病毒,无论所使用的加密算法。
检测无论是在生产的硬盘驱动器的分区表文件中的变化。 它使用加密Checksumms,添加到用户的个人密钥,病毒的发现加密密钥几乎是不可能的。
删除文件中的病毒,在一个简单而有效误报很少,部门和分区表鵟保护是通用的,即独立发现的病毒。
由这种病毒的特点是:
9K占地延长或扩展内存。
在西班牙语中的广泛和详细的文档和最重要的病毒百科全书。
每月或每季度更新软件和手册。
他的作品作为一个Windows下的居民。
AHA(高级启发式分析,高级启发式分析)。
诺顿防病毒软件。
NCSA的认证。 它具有自动背景保护。 停止几乎所有已知和未知病毒(通过名为诺维,其中包括典型的病毒活动的监测,保护系统的完整性),才造成任何损害或损失的信息,具有广泛的专有技术,每个检测到变化时线的防御,它结合了搜索,病毒检测和接种(称为“接种”的方法,由这种病毒的引导扇区和文件的主要特点,然后检查其完整性。 在这些领域,资产净值提醒用户,并提供修复选项 -使用保存的图像-继续-不作出变化-接种-升级的形象。
自我诊断用自己的文件和档案,以防止感染。
扫描可以手动或自动启动,通过规划的日期和时间。 它也可以让你修复被未知病毒感染的文件。 包括许多病毒检测的信息,并允许您设置一个密码,以提高安全性。
已知病毒列表可以定期更新(免费),通过在线服务,如Internet,CompuServe公司,美国在线,微软的网络,赛门铁克论坛本身,除其他。
VIRUSSCAN。
这杀毒的McAfee Associates是其中最有名的。 它通过扫描系统以上所述,是在风格上最好的。
扫描,采用两项专利技术:CMS(代码矩阵扫描,扫描矩阵码)和CTS(代码跟踪扫描,扫描跟踪代码)。
这种病毒的主要优点之一是,更新字符串的数据库文件是很容易执行,其中,增加一条,作为共享软件,这使得任何用户提供他们的地位。 它是如何检测,报告和消除病毒的配置相当灵活。
结论。
因为该语句可以提取一些可能被认为有必要考虑到对计算机病毒的概念:
不是万能的计算机病毒,影响正常运作。
所有的病毒是一个程序,因此,必须执行激活。
它是必不可少的工具进行检测和消毒。
没有安全系统是100%安全。 因此,每一个计算机用户应尽量实施防病毒安全策略,不仅要保护自己的信息,但不能成为一个东西,可能导致严重和不分青红皂白的分散剂。
为了实现这样的战略应该是手以下:
系统磁盘写保护和病毒的自由:磁盘操作系统的可执行文件(即可以从该磁盘启动机器)写保护,至少包含以下命令:的FORMAT,FDISK时,MEM和CHKDSK(或最新版本的MS-DOS磁盘扫描)。
至少有一个防病毒程序更新:您可以考虑更新的防病毒是从创建(或字符串的文件更新)之日起超过3个月。 最好是至少有两个杀毒软件。
病毒的具体信息的来源:这是一个程序,书籍或文本文件,包含最常见的病毒至少有一个100的描述,症状和特点。
一个支持关键领域的方案:你回来(备份),软盘和主引导扇区的硬盘的引导扇区(MBR,主引导记录)的任何程序。 许多防病毒程序等功能。
到哪去的地方:一个很好的预防措施预计不会需要帮助开始寻找可以提供,但去准备一个地址簿,电话号码和电子邮件地址以后,可以为人民和地方的名单。 如果有商业杀毒软件或注册,应始终在手手机支持。
居民保护系统:许多防病毒程序,包括居民,以防止在一定程度上,病毒的入侵和未知的计算机。
备份:它必须备份磁盘上的最重要的数据还建议支持所有的可执行文件。 对于非常重要的文件,好有一个双机备份,在一个磁盘备份的情况下被破坏。 也可以进行备份磁带(磁带备份),但对于普通用户来说是最好的磁盘上,成本的磁带驱动器的代表。
之前的所有新的音乐回顾:应检讨以往任何尚未使用的光盘,包括原计划(很少发生感染磁盘的原创节目分发,但它是可行的),分布与杂志计算机。
检查所有记录都提供了:任何光盘已借给朋友或同事,即使是那些含有唯一的数据文件,应当在使用前再次检查。
检查所有通过调制解调器或网络获得的方案之一是传播的主要模式和互联网的BBS系统,这是在文件传输中很常见,但总是不知道你在哪里收到信息。
定期检查电脑:你可以考虑,良好的频率分析,至少每月一次。
最后,重要的是要考虑这些建议,要针对不同的情况下,考虑有关的行为:
当您修改或消毒一台电脑,你应该把它从磁盘系统和引导5秒以上,无病毒和写保护,以清除内存驻留病毒。 无需运行硬盘上的任何方案,但必须软盘上的杀毒软件。 因此,有隐形病毒的可能性。
当一个引导扇区(引导扇区)或主引导记录(MBR)已被感染,最好是恢复该部门的一些支持,因为有时病毒所使用的通用引导行业都不能完全兼容安装操作系统。 此外,病毒并不总是使备份病毒期望找到原来的面积。
恢复之前备份重要的是要记得关闭超过5秒,从盘病毒免费启动计算机。
当被感染的文件被发现,这是最好删除,并从备份中恢复,即使我们使用消毒文件的防病毒程序。 这是因为没有确定是否检测到的病毒是为他们设计例程防毒消毒,或者是原始的突变。
当您格式化硬盘驱动器,以清除病毒,你必须记住要关闭超过5秒钟,机器,然后启动软盘的清洁,这也必须用于格式化磁盘软件。
的时候,以任何理由,你不能消灭病毒,应寻求专家的意见,直接仿佛寻求帮助任何风扇,它运行如果程序肯定是不正确的数据丢失的风险。
当检测和消除病毒感染应报告一个专家小组研究人员从病毒,杀毒软件的支持等。 这似乎是不必要的原则,有利于保持统计,追踪传染源,并确定新的病毒,最终结束了最终用户受益。
工作做:马塞洛·曼森先生。
关键词:
- 对计算机病毒的支持手册
- 所有关于计算机科学II
发表评论