Avast! Antivirus: gratis en effectief. Bescherming van bewoners

Een moderne antivirus is een complexe softwaretool die daarvoor moet zorgen betrouwbare bescherming computerapparaat(computer, zakcomputer of netbook) tegen verschillende virussen (malware). Algemeen schema antivirus wordt weergegeven in de onderstaande afbeelding:

Antivirusprogramma

Zoals uit het diagram blijkt, bestaat de antivirus uit de volgende onderdelen:

1. Bewonersbeschermingsmodule

2. Quarantainemodule

3. Antivirus-“beschermer”-module

4. Verbinding maken met de antivirusserver

5. Updatemodule

6. Computerscannermodule

De bewonersbeschermingsmodule is het hoofdonderdeel van de antivirus en bevindt zich in RAM computer en scant in realtime alle bestanden waarmee de gebruiker communiceert, besturingssysteem of andere programma's. Het woord "resident" betekent "onzichtbaar", "achtergrond". Bescherming van bewoners manifesteert zich alleen als er een virus wordt gevonden. Het belangrijkste principe van antivirussoftware is gebaseerd op de bescherming van bewoners: het voorkomen van infectie van de computer. Het bevat componenten zoals actieve bescherming(antivirushandtekeningen vergelijken met het gescande bestand en identificeren bekend virus) en proactieve bescherming (een reeks technologieën en methoden die worden gebruikt in antivirussoftware, waarvan het belangrijkste doel is om infectie van het systeem van de gebruiker te voorkomen, en niet om te zoeken naar reeds bekende kwaadaardige software in het systeem).

De quarantainemodule is de module die verantwoordelijk is voor het pand verdachte bestanden naar een speciale plaats genaamd quarantaine. Bestanden die in quarantaine zijn geplaatst, kunnen geen actie ondernemen (ze zijn geblokkeerd) en worden gecontroleerd door de antivirus. De antivirus besluit een bestand in quarantaine te plaatsen wanneer het een teken van virusactiviteit in het bestand detecteert (in dit geval is het bestand zelf vanuit antivirusoogpunt geen virus, het bestand is slechts een potentiële bedreiging), of als het bestand daadwerkelijk is geïnfecteerd met een virus, maar dit moet worden verholpen en verwijder niet het hele document (bijvoorbeeld een belangrijk gebruikersdocument dat een virus bevat). In het laatste geval wordt het bestand in quarantaine geplaatst voor daaropvolgende behandeling van het virus (als de antivirus het bestand niet kan genezen, zal het moeten worden verwijderd of achtergelaten in de hoop dat de antivirus met een nieuwe update dit bestand kan genezen ). Meestal wordt quarantaine in een speciale map gemaakt antivirusprogramma, die geïsoleerd is van alle andere acties dan die van de antivirus.

De antivirusbeschermingsmodule is een module die de antivirus beschermt tegen interferentie van derden software. Deze module is een antivirusbeschermer. Vaak willen virussen het antivirusprogramma wissen of voorkomen dat het werkt door het antivirusprogramma te blokkeren. De antivirusbeschermingsmodule staat dit niet toe. Niet alle moderne antivirusprogramma's zijn echter uitgerust met hoogwaardige beschermers. Sommigen van hen kunnen niets doen tegen moderne virussen, en virussen kunnen op hun beurt de antivirus rustig en gemakkelijk volledig wissen.

Er zijn ook virussen verschenen die het verwijderen van de antivirus door de gebruiker simuleren, dat wil zeggen dat de antivirusbeschermer van mening is dat de gebruiker om de een of andere reden zelf de antivirus wil verwijderen en dit daarom niet verhindert, hoewel dit in feite de activiteit van het virus. Momenteel zijn antivirusbedrijven een serieuzere aanpak gaan hanteren bij het uitbrengen van beschermers, en het wordt duidelijk dat als de antivirus geen goede beschermer heeft, de effectiviteit ervan bij het bestrijden van virussen erg laag zal zijn.

De connector met de antivirusserver is een belangrijk onderdeel van de antivirus. De connector wordt gebruikt om de antivirus te verbinden met een server waarvandaan de antivirus de nieuwste databases met beschrijvingen van nieuwe virussen kan downloaden. In dit geval moet de verbinding via een speciaal beveiligd internetkanaal verlopen. Dit is erg belangrijk punt, omdat een aanvaller verkeerd kan planten antivirusdatabases met een valse beschrijving van virussen als de antivirus verbinding maakt met de server via een onbeveiligd internetkanaal. Ook binnen moderne antivirusprogramma's De connector dient ook om verbinding te maken met een speciale server die de antivirus beheert. Een dergelijke verbinding wordt weergegeven in de onderstaande afbeelding:


Aansluitschema naar de server

bescherming tegen computervirussen

Zoals u in de afbeelding kunt zien, kunt u met de connector veel antivirusprogramma's van gebruikers verbinden met één enkele antivirusserver, waarvan de antivirusprogramma's van de gebruiker updates kunnen downloaden. Als zich onoplosbare problemen voordoen aan de antiviruskant van de gebruiker, zal de antivirusserver deze oplossen. op afstand (de antivirus van de gebruiker is bijvoorbeeld defect in een van de modules en de antivirusserver zal deze module afzonderlijk aanbieden om te downloaden). In dit geval is het ook erg belangrijke rol speelt een rol bij de beveiliging van het transmissiekanaal (communicatiekanaal) van informatie.

Van de kant van de aanvallers wordt een interessante praktijk gebruikt, waardoor de controle over het informatieoverdrachtkanaal zelf wordt overgenomen en de aanvaller in feite de beheerder wordt van de antivirusprogramma's van de gebruiker (geheel of gedeeltelijk, afhankelijk van welk deel van het transmissiekanaal door de aanvaller wordt onderschept). Op hun beurt begonnen de makers van antivirussen de gegevens op het informatiekanaal te versleutelen, zodat een aanvaller er geen toegang toe kon krijgen of er op geen enkele manier bezit van kon nemen.

De updatemodule is verantwoordelijk voor het updaten van de antivirus, it afzonderlijke onderdelen, evenals de antivirusdatabases, werden correct doorgegeven. IN moderne praktijk Bij het maken van antivirussen werd het volgende idee gebruikt: de updatemodule zou ook moeten bepalen of de antivirusdatabases echt zijn of niet en de module zelf moeten downloaden.

De authenticiteit kan worden geverifieerd verschillende methoden- van inspecties controlesom bestand met databases voordat u in het bestand met databases zoekt naar een speciale markering die aangeeft dat dit bestand echt is. Dergelijke acties werden geïntroduceerd nadat gevallen van vervanging van antivirusdatabases door aanvallers steeds vaker voorkwamen.

De computerscannermodule is misschien wel de oudste module in moderne antivirussen, aangezien eerdere antivirussen alleen uit deze module bestonden. Deze module is verantwoordelijk voor het scannen van de computer op virussen als de computergebruiker daarom vraagt. Bij het scannen van een computer gebruikt de module zelf antivirusdatabases die zijn verkregen met behulp van de antivirusupdatemodule. Als de scanner het virus wel vindt maar niet onmiddellijk afhandelt, plaatst hij het bestand met het virus in quarantaine. Vervolgens kan de computerscannermodule via een connector communiceren met de antivirusserver en instructies ontvangen over hoe het geïnfecteerde bestand moet worden geneutraliseerd.

Opgemerkt moet worden dat de computerscannermodule is ontworpen om uw computer tegen virussen te voorkomen, aangezien de belangrijkste bescherming wordt geboden door de interne beveiligingsmodule. De computerscannermodule gebruikt alleen antivirusdatabases die virussen duidelijk beschrijven. Verschillende elementen Proactieve bescherming (bijvoorbeeld heuristiek) wordt niet gebruikt in de computerscannermodule. Virusmakers bouwen meestal niet speciale bescherming voor hun virussen uit de computerscannermodules, omdat ze weten dat de gebruiker de computer niet vaak met een scanner scant, en deze tussenliggende tijd van scan tot scan voldoende is om de persoonlijke gegevens van de gebruiker te stelen.

Annotatie: De lezing biedt kennis over antivirusprogramma's: de geschiedenis van antivirusprogramma's, informatie over de betrouwbaarheid en werkingsmechanismen van moderne antivirusprogramma's, evenals de belangrijkste punten van het gebruik van moderne antivirusprogramma's.

Doel van de lezing: Geef de lezer kennis over antivirusprogramma's.

Antivirusprogramma's (hierna antivirussen genoemd) vormen het grootste deel van de moderne tijd antivirusbescherming(als we bedenken antivirusbescherming als een reeks programma's die kwaadaardige programma's weerstaan). In de regel is hun kracht voldoende om met de meeste kwaadaardige programma's om te gaan, maar soms gebeurt het dat ze om de een of andere reden niet aan de slag kunnen (voor het leesgemak noemen we alle soorten kwaadaardige programma's algemeen concept virussen). Waar begon deze strijd tussen antivirussen en verschillende virussen?

De geschiedenis van antivirusprogramma's

Het allereerste virus, dat al effectief was bij het verslaan, verscheen eind jaren zestig. Ze schonken hem dezelfde computer waarop hij was gemaakt (voor de eerste keer, met als doel entertainment). Maar al dit amusement zou alleen maar speelgoed voor programmeurs zijn gebleven als het internet niet was ontstaan. In 1975, de allereerste netwerk virus"The Creeper", en voor het eerst werd het antivirusprogramma "Reeper" gemaakt. Maar al in het volgende decennium experimenteerde F. Cohen met programma's die zich konden vermenigvuldigen en zich konden verspreiden; zijn ‘geesteskind’ creëerde zijn eigen kopieën en vond manieren om deze groter te maken. computernetwerk. Dus volgens dit principe hebben virussen zich in onze tijd verspreid mondiaal netwerk. En toen, in 1984, sprak Cohen op de zevende iin de Verenigde Staten, waarin hij zijn gedachten uitte over nieuwe dreiging op dit werkterrein. Ook ontdekten twee broers Amjad in Pakistan in 1986 een tot nu toe onbekend virus. De broers verkochten software en plotseling zagen ze per ongeluk dat iemand deze zonder toestemming kopieerde en dupliceerde, waardoor ze hun eerlijk verdiende geld ontnamen. Om de liefhebbers van "freebies" op de een of andere manier tegen te houden, schreven ze het programma "THE BRAIN" en implementeerden het in hun werk. Het werd actief bij een poging om te kopiëren. Dit was het begin en het prototype van alle toekomstige virussen. THE BRAIN stak abrupt de grens van Pakistan over en schokte de wereld, die niet voorbereid was op dit ongewone fenomeen. En al in 1987 verscheen de eerste literatuur over virussen en de strijd ertegen. Vanaf dat moment werd het absoluut duidelijk dat het nodig was om virussen te creëren om virussen te bestrijden speciale programma's“antivirussen” die virussen kunnen bestrijden en daardoor de geïnfecteerde machine kunnen “genezen”. De eerste antivirussen waren verre van moderne antivirusprogramma's. In feite waren het eenmalige programma's die waren ontworpen om een ​​specifiek virus te behandelen. De distributie van een dergelijk antivirusprogramma was behoorlijk duur en tijdrovend, omdat antivirussen op diskettes werden opgenomen en naar hun abonnees in verschillende delen van de wereld werden gestuurd. Uiteraard duurde een dergelijke levering behoorlijk lang, en het was erg moeilijk om deze op tijd te ontvangen. het benodigde exemplaar antivirusprogramma. Het kwam vaak voor dat bewoners van bijzonder afgelegen plaatsen van de plaats waar de diskette met het antivirusprogramma naartoe werd gestuurd, tegen de tijd dat ze het antivirusprogramma ontvingen, besmet waren met een aantal andere virussen. Dit alles zorgde voor een slechte reputatie voor antivirussen, maar met de ontwikkeling van internet werden er eerst antivirussen naar verzonden brievenbussen gebruikers, en toen werd het mogelijk om speciale antivirusdatabases dynamisch bij te werken. Het werkingsschema van de eerste antivirussen was verre van ideaal: ze konden niet voortdurend op een geïnfecteerde machine werken, maar waren in feite slechts een scanner die naar een specifiek virus zocht en er vervolgens mee probeerde om te gaan. Virusmakers vonden een vrij eenvoudige manier om dergelijke antivirussen te bestrijden: ze begonnen virussen te maken die de antivirus vernietigden voordat de gebruiker deze kon gebruiken (dat wil zeggen, ze verwijderden eenvoudigweg de antivirus van de diskette die naar de gebruiker kwam). De makers van antivirussen begonnen op hun beurt hun antivirussen uit te rusten met speciale "beschermers" die niet toestonden dat het antivirusprogramma werd verwijderd. Toen begonnen er virussen te verschijnen die zich vermomden als systeembestanden of mappen, en toen begonnen er virussen te verschijnen die zelfs hun bestanden konden veranderen eigen code(zodat de antivirus ze niet kan detecteren). Maar antivirusprogramma's verbeterden ook (de regel 'voor elk zwaard is een schild' werkte), en de strijd tussen de makers van antivirussen en de makers van virussen werd duidelijk. Op zijn beurt begon de pers geruchten te verspreiden dat antivirusbedrijven zelf verschillende virussen schrijven om de interesse in antivirusprogramma's te behouden (tot op zekere hoogte kan dit een volkomen logische conclusie zijn), maar dergelijke geruchten kunnen nog steeds niet worden bevestigd. Het is ook interessant dat de makers van antivirussen met elkaar concurreren in de strijd om kopers, en daarom is het heel logisch om te concluderen dat het ongepast is om meerdere antivirussen op een computer te bewaren, omdat ze met elkaar in conflict zullen komen, wat een rol zal spelen in de handen van de virussen zelf.

Het werkingsmechanisme van moderne antivirussen

Een moderne antivirus is een complexe softwaretool die een computerapparaat (computer, PDA of netbook) op betrouwbare wijze moet beschermen tegen verschillende virussen (malware). Het algemene schema van de antivirus wordt weergegeven in de onderstaande afbeelding:


Rijst. 3.1.

Zoals uit het diagram blijkt, bestaat de antivirus uit de volgende onderdelen:

  1. Bewonersbeschermingsmodule
  2. Quarantainemodule
  3. Antivirus "beschermer" -module
  4. Connector naar antivirusserver
  5. Updatemodule
  6. Computerscannermodule

De residente beveiligingsmodule is het hoofdonderdeel van een antivirusprogramma, bevindt zich in het RAM van de computer en scant in realtime alle bestanden waarmee de gebruiker, het besturingssysteem of andere programma's communiceren. Het woord "resident" betekent "onzichtbaar", "achtergrond". Bewonersbescherming manifesteert zich pas als er een virus wordt aangetroffen. Het belangrijkste principe van antivirussoftware is gebaseerd op de bescherming van bewoners: het voorkomen van infectie van de computer. Het omvat componenten zoals actieve bescherming (het vergelijken van antivirushandtekeningen met het gescande bestand en het identificeren van een bekend virus) en proactieve bescherming (een reeks technologieën en methoden die worden gebruikt in antivirussoftware, met als hoofddoel het voorkomen van infectie van het systeem van de gebruiker, en niet te zoeken naar reeds bekende malware op het systeem).

De quarantainemodule is een module die verantwoordelijk is voor het plaatsen van verdachte bestanden op een speciale plaats die quarantaine wordt genoemd. Bestanden die in quarantaine zijn geplaatst, kunnen geen actie ondernemen (ze zijn geblokkeerd) en worden gecontroleerd door de antivirus. De antivirus besluit een bestand in quarantaine te plaatsen wanneer het een teken van virusactiviteit in het bestand detecteert (in dit geval is het bestand zelf vanuit antivirusoogpunt geen virus, het bestand is slechts een potentiële bedreiging), of als het bestand daadwerkelijk is geïnfecteerd met een virus, maar dit moet worden verholpen en verwijder niet het hele document (bijvoorbeeld een belangrijk gebruikersdocument dat een virus bevat). In het laatste geval wordt het bestand in quarantaine geplaatst voor daaropvolgende behandeling van het virus (als de antivirus het bestand niet kan genezen, zal het moeten worden verwijderd of achtergelaten in de hoop dat de antivirus met een nieuwe update dit bestand kan genezen ). Meestal wordt een quarantaine aangemaakt in een speciale map van het antivirusprogramma, die geïsoleerd is van alle andere acties dan die van het antivirusprogramma.

De antivirusbeschermingsmodule is een module die de antivirus beschermt tegen interferentie van derden door verschillende softwaretools. Deze module is een antivirusbeschermer. Vaak willen virussen het antivirusprogramma wissen of voorkomen dat het werkt door het antivirusprogramma te blokkeren. De antivirusbeschermingsmodule staat dit niet toe. Niet alle moderne antivirusprogramma's zijn echter uitgerust met hoogwaardige beschermers. Sommigen van hen kunnen niets doen tegen moderne virussen, en virussen kunnen op hun beurt de antivirus rustig en gemakkelijk volledig wissen. Er zijn ook virussen verschenen die het verwijderen van de antivirus door de gebruiker imiteren, dat wil zeggen dat de antivirusbeschermer gelooft dat de gebruiker om de een of andere reden zelf de antivirus wil verwijderen en dit daarom niet verhindert, hoewel dit in feite de activiteit van het virus. Momenteel zijn antivirusbedrijven een serieuzere aanpak gaan hanteren bij het uitbrengen van beschermers, en het wordt duidelijk dat als de antivirus geen goede beschermer heeft, de effectiviteit ervan bij het bestrijden van virussen erg laag zal zijn.

De connector met de antivirusserver is een belangrijk onderdeel van de antivirus. De connector wordt gebruikt om de antivirus te verbinden met een server waarvandaan de antivirus de nieuwste databases met beschrijvingen van nieuwe virussen kan downloaden. In dit geval moet de verbinding plaatsvinden via een speciaal beveiligd internetkanaal. Dit is een heel belangrijk punt, omdat een aanvaller onjuiste antivirusdatabases met valse beschrijvingen van virussen kan plaatsen als het antivirusprogramma via een onbeveiligd internetkanaal verbinding maakt met de server. Bovendien dient de connector in moderne antivirussen ook om verbinding te maken met een speciale server die de antivirus beheert. Een dergelijke verbinding wordt weergegeven in de onderstaande afbeelding:


Rijst. 3.2.

Zoals u in de afbeelding kunt zien, kunt u met de connector veel antivirusprogramma's van gebruikers verbinden met één enkele antivirusserver, waarvan de antivirusprogramma's van de gebruiker updates kunnen downloaden. Ook als er zich onoplosbare problemen voordoen aan de antiviruskant van de gebruiker,

Dit deel van het programma controleert voortdurend de computer en programma's draaien, het detecteren van eventuele verdachte activiteit(bijvoorbeeld een virus), waardoor schade aan bestanden en computer wordt voorkomen. Woonbeveiliging werkt volledig onafhankelijk (deze wordt automatisch geactiveerd wanneer de computer opstart) en als alles in orde is, merkt u de werking ervan niet eens.

Het blauwe pictogram met de letter "a" in de rechter benedenhoek van het scherm naast de klok geeft de huidige status van de bewonersbescherming weer. Normaal gesproken geeft de aanwezigheid van een pictogram aan dat residente bescherming is geïnstalleerd en uw computer proactief beschermt. Als er een rode lijn door het pictogram staat, is de beveiliging inactief en is de computer niet beveiligd. Als het pictogram grijs is, is de bescherming gepauzeerd (zie hieronder).

Instellingen voor woningbeveiliging zijn beschikbaar als u met de linkermuisknop op het blauwe pictogram in de rechterbenedenhoek van het scherm klikt, of klikt en 'Toegang tot scannerinstellingen' selecteert.
Het volgende scherm verschijnt:

Hier kunt u de bewonersbescherming tijdelijk pauzeren door op “Pauze” of “Beëindigen” te klikken. IN in dit geval beide opties zijn gelijkwaardig. De bewonersbescherming wordt echter automatisch geactiveerd de volgende keer dat u uw computer opstart. Dit wordt gedaan om uw computer te beschermen tegen onbedoelde infecties.

U kunt de gevoeligheid van de bewonersbescherming ook aanpassen door op de lijn met de cursor te klikken, waardoor de gevoeligheid wordt gewijzigd in “Normaal” of “Hoog”. De bescherming van bewoners omvat echter verschillende aspecten diverse modulen of "providers", die elk zijn ontworpen om verschillende delen van de computer te beschermen. Alle wijzigingen die u aanbrengt dit scherm, wordt toegepast op alle bewonersbeschermingsmodules.

Woningbeveiliging bestaat uit de volgende modules of “aanbieders”:

Chatberichtencontroleert bestanden die zijn gedownload door programma's te delen instant berichten, bijvoorbeeld ICQ en MSN Messenger en vele anderen. Hoewel internetboodschappers zelf geen virusbedreiging vormen, zijn moderne IM-toepassingen verre van veilig: de meeste ervan staan ​​ook het delen van bestanden toe - wat gemakkelijk kan leiden tot virale infectie, als u ze niet volgt.

E-mailcontroleert inkomend en uitgaand mailberichten, verwerkt door niet-MS Outlook- en MS Exchange-clients, b.v. OutlookExpress, Eudora, enz.

Firewall Biedt bescherming tegen internetwormen zoals Blaster, Sasser, enz. Bescherming is alleen mogelijk op NT-gebaseerde systemen (Windows NT/2000/XP/Vista).

Outlook/Exchange scant inkomende en uitgaande e-mailberichten die worden verwerkt door MS Outlook of MS Exchange en stopt het verzenden en ontvangen van berichten die mogelijke virussen bevatten.

P2P-scherm controleert bestanden die zijn gedownload door gewone P2P-programma's (bestandsdeling), zoals Kazaa, enz.

Scriptblokkeringcontroleert scripts op alle webpagina's die u bekijkt om infecties als gevolg van kwetsbaarheden in de webbrowser te voorkomen.

Standaard scherm controleert actieve programma's en documenten openen. Dit helpt het starten van geïnfecteerde programma's en het openen van geïnfecteerde documenten te voorkomen, waardoor de activering van het virus wordt geblokkeerd.

Webscherm beschermt uw computer tegen virussen tijdens het gebruik van internet (surfen op het internet, downloaden van bestanden, enz.) en kan ook de toegang tot bepaalde pagina's blokkeren. Als u een geïnfecteerd bestand downloadt, voorkomt het standaardscherm dat dit wordt gestart. Het webscherm zal het virus echter nog eerder detecteren – tijdens het downloaden van bestanden, waardoor een nog betere bescherming wordt geboden. Webscreen is compatibel met alle gangbare webbrowsers, inclusief Microsoft Internet Explorer, FireFox, Mozilla en Opera. Met een unieke functie genaamd "Intelligent Stream Scanning", waarmee u gedownloade bestanden vrijwel in realtime kunt scannen, met vrijwel geen invloed op de browsersnelheid.

Je kunt de gevoeligheid van elke module afzonderlijk aanpassen. Om dit te doen of een specifieke module te pauzeren, klikt u op “Details...”. Het volgende scherm verschijnt:

In het venster presenteert het paneel aan de linkerkant individuele modules. De gevoeligheid van elke module kan worden ingesteld door op de naam aan de linkerkant te klikken en de gevoeligheid in de schaal te selecteren met behulp van de schuifregelaar. In dit venster is het ook mogelijk om bepaalde delen van de bewonersbescherming tijdelijk of permanent te pauzeren door op “Pauze” of “Afsluiten” te klikken. Als u op “Pauze” klikt, wordt de bijbehorende module automatisch gestart de volgende keer dat u het programma start computer Als u “Afsluiten” selecteert, zal het programma u vragen of u een specifieke module werkelijk definitief wilt uitschakelen of de volgende keer dat u uw computer opstart, wilt starten. Als u op Ja klikt, blijft de module inactief, zelfs nadat u opnieuw hebt opgestart uw computer, totdat u deze handmatig opnieuw inschakelt.

Er is een bepaald bedrag extra opties, die per module kan worden geselecteerd, zo is het mogelijk om te bepalen welk type bestanden moeten worden gescand. Deze opties zijn beschikbaar nadat u op de knop “Configureren” hebt geklikt.

De term 'residentie' (DOS-term TSR - Terminate and Stay Resident) verwijst naar het vermogen van virussen om kopieën van zichzelf achter te laten in systeem geheugen, onderschep enkele gebeurtenissen (bijvoorbeeld toegang tot bestanden of schijven) en roep procedures op voor het infecteren van gedetecteerde objecten (bestanden en sectoren). Residente virussen zijn dus niet alleen actief terwijl het geïnfecteerde programma actief is, maar ook nadat het programma is uitgevoerd. Residentiële kopieën van dergelijke virussen blijven levensvatbaar tot de volgende herstart, zelfs als alle geïnfecteerde bestanden op de schijf worden vernietigd. Vaak is het onmogelijk om van dergelijke virussen af ​​te komen door alle kopieën van bestanden vanaf distributieschijven of back-upkopieën te herstellen. De residente kopie van het virus blijft actief en infecteert nieuw aangemaakte bestanden. Hetzelfde geldt voor opstartvirussen: het formatteren van een schijf terwijl er een aanwezig virus in het geheugen aanwezig is, geneest de schijf niet altijd, omdat veel aanwezige virussen de schijf opnieuw infecteren nadat deze is geformatteerd.

Niet-ingezeten virussen.

Niet-residente virussen zijn daarentegen vrij kort actief - alleen op het moment dat het geïnfecteerde programma wordt gelanceerd. Om zich te verspreiden, zoeken ze naar niet-geïnfecteerde bestanden op de schijf en schrijven ze ernaar. Nadat de viruscode de controle heeft overgedragen aan het hostprogramma, wordt de impact van het virus op de werking van het besturingssysteem tot nul teruggebracht tot de volgende lancering van een geïnfecteerd programma. Daarom is het veel gemakkelijker om bestanden die zijn geïnfecteerd met niet-residente virussen van de schijf te verwijderen zonder dat het virus ze opnieuw kan infecteren.

Stealth-virussen

Stealth-virussen verbergen op de een of andere manier het feit van hun aanwezigheid in het systeem.

Door het gebruik van stealth-algoritmen kunnen virussen zich geheel of gedeeltelijk in het systeem verbergen. Het meest voorkomende stealth-algoritme is het onderscheppen van OC-verzoeken om geïnfecteerde objecten te lezen/schrijven. In dit geval genezen stealth-virussen ze tijdelijk of ‘vervangen’ ze niet-geïnfecteerde delen van informatie op hun plaats. In het geval van macrovirussen het meest populaire manier- verbod op oproepen naar het macroweergavemenu. Alle soorten stealth-virussen zijn bekend, met uitzondering van Windows-virussen: opstartvirussen, DOS-bestandsvirussen en zelfs macrovirussen. Het verschijnen van stealth-virussen die Windows-bestanden infecteren is hoogstwaarschijnlijk een kwestie van tijd

Polymorfe virussen

Zelfcodering en polymorfisme worden door bijna alle soorten virussen gebruikt om de virusdetectieprocedure zo veel mogelijk te compliceren. Polymorfe virussen (polymorfe) zijn vrij moeilijk te detecteren virussen die geen handtekening hebben, d.w.z. die geen enkel permanent stukje code bevat. In de meeste gevallen zullen twee monsters van hetzelfde polymorfe virus geen enkele match hebben. Dit wordt bereikt door het hoofdgedeelte van het virus te coderen en het decoderingsprogramma aan te passen.

Polymorfe virussen omvatten virussen die niet kunnen worden gedetecteerd (of uiterst moeilijk zijn) met behulp van zogenaamde virusmaskers: delen van constante code die specifiek zijn voor een bepaald virus. Dit wordt op twee manieren bereikt: door de hoofdviruscode te coderen met een niet-permanente sleutel en een willekeurige reeks decryptoropdrachten, of door de uitvoerbare viruscode zelf te wijzigen. Polymorfisme van verschillende mate van complexiteit wordt aangetroffen in alle soorten virussen: van opstart- en bestands-DOS-virussen tot Windows-virussen.

Op basis van hun leefgebied kunnen virussen worden onderverdeeld in:

    bestand;

    laars;



GERELATEERDE ARTIKELEN