Red de conocimiento informático - Descarga de software - ¿Cómo funciona el software antivirus para computadoras?

¿Cómo funciona el software antivirus para computadoras?

El software antivirus tiene varios métodos de trabajo y hay varias generaciones:

La primera generación de tecnología antivirus utiliza características de virus simples para juzgar los virus y elimina los virus de los virus. -que contienen archivos. Este método puede eliminar virus con precisión y es muy fiable. Posteriormente, el desarrollo de la tecnología antivirus, especialmente la aplicación de tecnología de cifrado y deformación, hizo inútil este sencillo método de escaneo estático. Junto a esto, la tecnología antivirus también ha avanzado un paso más. ?

La tecnología antivirus de segunda generación utiliza un método estático de escaneo de firmas de amplio espectro para detectar virus. Este método puede detectar más virus deformados, pero por otro lado, la tasa de falsas alarmas también aumenta. especialmente cuando se utiliza este método laxo de determinación de características conlleva grandes riesgos para la eliminación de virus y puede causar daños fácilmente a archivos y datos. Por tanto, la tecnología antivirus estática también tiene deficiencias que son difíciles de superar. ?

La característica principal de la tecnología antivirus de tercera generación es combinar la tecnología de escaneo estático y la tecnología de seguimiento de simulación dinámica para encontrar y eliminar virus en uno, formando una solución general que puede realizar completamente varios medios necesarios. para la prevención, detección y eliminación de antivirus se utilizan para evitar la intrusión de virus de forma residente en la memoria. Todos los virus detectados se pueden eliminar sin dañar archivos ni datos. Con el aumento en la cantidad de virus y el desarrollo de nuevas tecnologías antivirus, la tecnología de escaneo estático ralentizará el software de verificación de virus y los módulos antivirus residentes en la memoria son propensos a generar falsos positivos. ?

La cuarta generación de tecnología antivirus está dirigida al desarrollo de virus informáticos y se basa en las reglas de nomenclatura del sistema de la familia de virus, basado en el mecanismo de escaneo de suma de verificación CRC de varios dígitos y código inteligente heurístico. módulo de análisis y restauración dinámica de datos Las tecnologías avanzadas de desintoxicación, como módulos (que pueden detectar virus en archivos comprimidos y cifrados altamente ocultos), módulos de desintoxicación de memoria y módulos autoinmunes, han resuelto mejor la situación en la que las tecnologías antivirus anteriores estaban preocupadas por uno cosa y la otra.

Dado que muchos principiantes no saben mucho sobre temas de seguridad, no saben cómo eliminar los "caballos de Troya" de sus computadoras. Aunque hay muchas versiones nuevas de software antivirus en el mercado que pueden eliminar automáticamente los "troyanos", no pueden prevenir nuevos programas "troyanos". Por lo tanto, lo más importante es saber cómo funcionan los "troyanos" para poder eliminarlos. fácilmente descubierto. Creo que después de leer este artículo, te convertirás en un maestro matando "caballos de Troya". ?

El programa "caballo de Troya" intentará todos los medios para ocultarse. Las formas principales son: ocultarse en la barra de tareas. Esta es la más básica. Simplemente establezca la propiedad Visible del formulario en False y. ShowInTaskBar a False, el programa ya no aparecerá en la barra de tareas cuando se esté ejecutando. Invisibilidad en el Administrador de tareas: puede disfrazarse fácilmente configurando un programa como "Servicio del sistema". ?

Por supuesto, también se iniciará silenciosamente. Ciertamente no espera que el usuario haga clic en el icono del "caballo de Troya" para ejecutar el servidor cada vez que se inicia. Cuando el usuario inicia el servidor, el método de carga automática de aplicaciones cuando se inicia el sistema Windows será utilizado por "caballos de Troya", como: grupo de inicio, win.ini, system.ini, registro, etc. todos buenos lugares para que se escondan los "caballos de Troya". Hablemos de cómo se carga automáticamente el "troyano". ?

En el archivo win.ini, en [WINDOWS], "run=" y "load=" son formas posibles de cargar programas "caballo de Troya", y debe prestarles especial atención. En circunstancias normales, no hay nada después de su signo igual. Si descubre que la ruta y el nombre del archivo seguidos no son los archivos de inicio que conoce, es posible que su computadora esté infectada con un "caballo de Troya". Por supuesto, hay que mirar con atención, porque muchos "troyanos", como el "troyano AOL", se disfrazan como el archivo command.exe. Si no tiene cuidado, es posible que no descubra que no es el sistema real. archivo de inicio. ?

En el archivo system.ini, hay "shell=nombre de archivo" debajo de [BOOT]. El nombre de archivo correcto debe ser "explorer.exe". Si no es "explorer.exe" sino "shell= nombre del programa explorer.exe", entonces el programa que le sigue es un programa "caballo de Troya", lo que significa que tiene sido atacado por un "caballo de Troya".

?

La situación en el registro es la más complicada. Abra el editor de registro mediante el comando regedit y haga clic en: directorio "HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run". el valor clave para ver si hay archivos de inicio automático desconocidos con la extensión EXE. Recuerde aquí: algunos programas "caballo de Troya" generan archivos que son muy similares a los archivos propios del sistema. Usted desea superarlos fingiendo, como por ejemplo. "Acid Battery v1.0" caballo de Troya", que cambia el valor de la clave Explorer en el registro "HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" a Explorer="C:\WINDOWS\expiorer.exe" El programa "caballo de Troya" es diferente del real. La única diferencia entre Explorer es "i" y "l". Por supuesto, hay muchos lugares en el registro donde se pueden ocultar programas "caballo de Troya", como: "HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run", "HKEY-USERS\**** \Software\Microsoft" \Windows\CurrentVersion\Run" La mejor manera es buscar el nombre de archivo del programa "Trojan Horse" en "HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" y luego en todo Simplemente busque en el registro. ?

Sabiendo cómo funcionan los "caballos de Troya", resulta fácil detectarlos y eliminarlos. Si se encuentra un "caballo de Troya", la forma más segura y efectiva es desconectar inmediatamente la computadora. la red. Actívelo para evitar que los piratas informáticos lo ataquen a través de la red. Luego edite el archivo win.ini y cambie "run="Trojan Horse" program" o "load="Trojan Horse" program" en [WINDOWS] a "run=" y "load="; cambie [BOOT] debajo de "shell=archivo 'Trojan'", cambie a: "shell=explorer.exe" en el registro, use regedit para editar el registro, primero en "HKEY-LOCAL-MACHINE\Software\Microsoft\ Find; el nombre de archivo del programa "caballo de Troya" en "Windows\CurrentVersion\Run", y luego busque y reemplace el programa "caballo de Troya" en todo el registro. A veces se debe tener en cuenta que algunos programas de "caballo de Troya" no lo hacen directamente. reemplace el programa "Caballo de Troya" Simplemente elimine el valor de la clave "Trojano" en "HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", porque algunos "troyanos" como BladeRunner "Trojan", si los elimina. inmediatamente el "troyano" Para agregarlo automáticamente, lo que necesita es anotar el nombre y directorio del "troyano", luego regresar a MS-DOS, buscar el archivo "Trojan horse" y eliminarlo. Reinicie la computadora y luego elimine los valores clave de todos los archivos de "caballo de Troya" en el registro.