Образование в РоссииДошкольное образованиеШкольное образованиеПрофессионально-техническоеВысшее образованиеНаучно-исследовательская деятельностьПовышение квалификацииОбучение Internet
 
Новости
Провайдеры
Браузеры
Дистанционное обучение
Поиск в Internet
HTML
Вирусы
Словарь
Литература
Общение через Internet
Гостевая книга
Наши партнеры
Ссылки
 
Каталог классов и групп
Одноклассники
 
Свежие новости
Конструктор для ваших сайтов
Бесплатный хостинг
Служба рассылки
Игровой сервер
Бесплатно скачать mp3
Открытки для влюбленныз
Социологические опросы
Лучшие Тесты
Какой у тебя характер?
IQ
Психологический возраст
Любит - не любит
Кого назначит вам судьба?
Ждет ли вас успех?
Какому типу мужчин вы нравитесь?
Посмотрите на себя со стороны
Какая работа для вас предпочтительнее?
Есть ли у тебя шестое чувство?

Поиск по сайту
 статью
 учреждение
 сотрудника
 

Вы заражены?

 1  2  3  4 


Это довольно рискованно. Закрытие резидентной программы, критичной для системы, может привести к нежелательным результатам, таким как отображение Голубого Экрана Смерти или даже к перезагрузке системы. Желательно определить, действительно ли определенная резидентная программа чужда системе, а это не легкая задача. Вы можете либо почитать руководство к операционной системе, либо поискать эту программу в поисковых системах Интернет. Если поиск не даст результатов или не покажет связи с malware, лучше всего будет, если вы оставите программу в покое.

Поддельные имена процессов

Современное malware часто использует имена процессов, которые удивительно похожи на названия стандартных процессов. Из-за этого вы можете решить, что это нормальный процесс, но это не так. Например, WSOCK32.DLL, обычный процесс в памяти, обрабатывающий библиотеку функций сокетов, может быть подделан как WSOCK33.DLL. Другой пример - KERNE132.dll (обратите внимание, что буква L в слове KERNEL заменена на цифру 1) можно по ошибке принять за KERNEL32.DLL. Иногда имена остаются верными, но отличается путь. KERNEL32.DLL всегда находится в директории \Windows\System32, но некоторые malware помещают его в \Windows\System.

Существуют другие способы проверки на зараженность. Например, вы можете проверить, не осталась ли недавно запущенная и уже закрытая программа в памяти, где ее быть уже не должно. Другой признак - это когда программа имеет несколько своих копий в памяти, даже если приложения с таким именем не запущено.

В конце концов, если после закрытия всех приложений и проверки использования памяти определенным ресурсом обнаруживается, что он занял почти всю память, вам стоит проверить его. Особенно справедливо это в том случае, если нет никакой индикации активности памяти для этого ресурса. Область памяти находится в безопасности, если вы просто просматриваете ее, но проведение манипуляций, таких как прерывание процессов, может привести к нежелательным результатам. Однако, если вы выяснили, что некоторое malware действительно присутствует в вашей системе после сравнения с сообщениями производителей антивирусного ПО, вы можете прервать процесс malware в памяти и дальше искать, что еще он добавил или изменил в вашей системе.

Получение контроля

Перед тем, как malware становится резидентным в памяти, его нужно запустить. Когда пользователь запускает файл, это только первый шаг. Malware часто реализует другие методики, чтобы гарантировать хотя бы однократный запуск в каждой сессии системы. Это делается путем помещения ссылок на себя в местах, где система производит инициализацию и пре-конфигурацию. Это места или конфигурационные файлы, которые используются операционной системой при запуске. Для malware очень важно запускаться каждый раз и оставаться резидентно в памяти. Какой может быть лучший способ для запуска и размещения в памяти, чем запуск каждый раз при загрузке компьютера?

Существует множество мест, в которых malware может реализовать эту технику. Одной из первых методик было инфицирование Командного Интерпретатора, более известного как command.com. После инфицирования этого файла, malware гарантировано запускается и остается в памяти. Также malware может попытаться достичь этого, добавив ссылки на себя в autoexec.bat или config.sys, конфигурационных файлах, используемых в DOS и даже Windows системах в стандартной схеме загрузки.

Ключи реестра

Современные malware нашли новые пути установки себя в систему и обеспечения запуска. Один путь - добавление или модификация ключей реестра. Реестр - это хранилище конфигурационных настроек системы и включает в себя ссылки на приложения, которые должны запускаться в процессе запуска системы. Это хорошее место для malware, поэтому рассмотрим его подробнее.

Чтобы получить доступ к реестру, нажмите "Start" -> "Run" и наберите "Regedit" в окне "Open:". Откроется редактор реестра. Следует предупредить, что изменение или удаление ключей реестра, как и в случае прерывания процессов в памяти, может привести к нежелательным проблемам в системе. Поскольку реестр - хранилище конфигурационных настроек, незначительное изменение в нем может привести к некорректной загрузке системы, или сделать некоторые приложения нерабочими. Так что с осторожностью выполняйте следующие инструкции.

 1  2  3  4 
 
  Copyright © RIN 2002-.
   * Обратная связь
>