Як вижити без антивіруса?

Як вижити без антивіруса?

Хочу сказати в першу чергу що помилки не виправляв адже це не твір і не іспит у школі, а просто мої думки на рахунок даної теми по-друге я намагався дати вказівки, поради як і що робити, деколи тільки натяки або поверхневі відомості, якщо є питання або зауваження буду радий прийняти і конструктивну критику і прохання дізнатися більше: lifeisound собачка gmail.com.

Попереджаю що дана стаття призначена для досвідчених користувачів, які хоча б поверхово знайомі з «залізом» комп'ютера, структурою ОС, а бажано мали який або досвід програмування на будь-якому сучасному мові програмування. У будь-якому разі не хочу відлякувати спраглих і кожен може все нижче описане повторити без будь-яких академічних знань вище описаного, якщо залучить то можливо з часом і дізнаєтеся все необхідне.

Будемо відштовхуватися від того що ви наприклад як і я не любитель антивірусів, або просто хочете дізнатися як же все таки можливо не тільки не користуватися антивірусом, а й виловити віруси своїми руками при мінімальному досвіді, і з невеликим набором маленьких програм-інструментів утиліт. У будь-якому випадку багато повинні зі мною погодитися, що в житті бувають різні ситуації такі наприклад як банальна проблема немає диска з антивірусом, втратили ключ для нього, чи ні інтернету і купа інших проблем. При будь-якому розкладі що ви втрачаєте? час, сили, гроші, якщо так то ця стратегія не для вас, можете далі не читати, а придбати ви зможете багато чого, просто вгамувати спрагу знань, дізнатися принципи і звички «нечисті» і як її виловлювати майже голими руками і звичайно ж досвід, якщо будете тренуватися і експериментувати. Отже дана задача немає антивіруса і

а) є підозра що пробрався вірус / хробак / adware / spyware / троян / і т.п

б) немає підозри але все таки хочеться дізнатися, чиста чи система?

З першим варіантом все ясно якщо у вас є почуття що з системою щось не так (Neo тук-тук прокинься :) з'являються сині екрани, часті перезавантаження, перекидає на інші сайти, або навіть явні ознаки зараження блокування вікон, клавіатури і т. д і т.п. На рахунок синіх екранів перезавантажень і не включення тут можливо навіть вірусами і не пахне проблема може виникнути у незгоді з залізом, блок живлення, пам'ять, криві дрова або навіть софт і все в такому роді. На цьому етапі важливо вирішити в чому проблема в апаратній частині або в програмній і далі вже продовжувати усувати проблему. Тут вам допоможе сувора логіка або друг більш знайомий з даною ремонтної тематикою. Ну сподіваюся у вас все нормально з залізом і ми продовжимо введення в комп'ютерну заразу.

Другий випадок як не дивно принципово ні чим не відрізняється від першого в силу того що існує така ймовірність що зараза сидить тихо і виконує свої функції не обов'язково такі явні дії (краде паролі, вашу переписку, і т.п) коротше кажучи приховує свою присутність. Наша заду полягає в тому що б дізнатися чи дійсно хтось тут не законний ховається або все таки це параноя :)

Багато інструменти можна знайти на https://cracklab.ru/

Не буду довго розповідати теорію і лити воду. Просто напишу свої думки на рахунок даної теми.

Це щось на зразок методички як зловити гада :)

0. Якщо файл (не обов'язково * .exe - *. Dll розширення може бути яким завгодно) лежить в якій або папці windows і:

1.Якщо файл розміром до 100-200 кб

2.Нет цифрового підпису (дивимося властивості файлу)

3.Нет інформації про компанію (теже властивості)

4.Якщо файл належить великій компанії начебто microsoft і запакований (Не ЗІПом і не Раром а * .exe упаковшікі, протектори на зразок upx, asprotect, armadillo) з'ясовується при скануванні програма начебто peid, lordpe або щось новіше

5.Процесс пожирає багато пам'яті або процесорного часу (сильно завантажує процесор)

6.стоіт подивитися всі відкриті файли в системі (якщо вірус сканує весь гвинт, то можна побачити як він перебирає весь вінчестер) не варто плутати з іншою програмою дефрагментатором чи ще якийсь якої сторонньої встановленою програмою

Ймовірність велика що це паразит, варто його спробувати видалити не забувши зробити копію, а краще запакувати і відкласти в сторону.

Варто один раз зробити таку важливу річ як створити еталонний файл md5 найважливіших файлів.

Поясню що це таке. як тільки ми переустановили систему і почали жити з нового аркуша т.е з нового чистого вінта.то беремо всю папку c: windows з усіма вкладеними папками і знімаємо з усіх системних файлів контрольні суми md5 будь утилітою яка надасть повний звіт після створення відбитків файлів . тепер ми можемо автоматизувати цю справу наприклад через батники

* .bat * .cmd Створивши сценарії виконання профілактики. т.е що робить командної файл? він запускає нашу програму для зняття нових md5 і потім після створення нового звіту, порівнює його з еталонним чистим звітом, якщо виявляються розходження, то варто бити тривогу і піднімати караул. Можна взяти з того ж арсеналу ОС утиліту fc.exe лежачу в c: windows system32 fc /? варто використовувати двійкове порівняння якщо просто необхідно порівняти дві програми або бібліотеки, а в разі готового мд5 рапорту можна і текст порівнювати

Але можуть бути і винятки ось через що:

1.Скачіваемие поновлення microsoft звичайно можуть замінити системний файл на пропатченний

2.обновленія сторонніх компаній adobe, sony і багато інших

3.скопіровал сам в системну папку на приклад файл * .dll і забув, що замінив на іншу версію :)

Що з цього випливає що необхідно враховувати всі ці оновлення, патчі, переустановку, установку нових програм і т.п. Це наштовхує нас на ведення логів в системі, ОС має і так систему логування багатьох змін в системі, панель управління-журнали. Але можна і щось своє поставити.

Багато хто забуває, а хтось і не знає про те що ОС сама має можливість перевіряти цілісність системних файлів і зветься вона sfc.exe. Все банально просто запускаємо командного рядка Виконати (Windows + R) -gt; cmd-gt; sfc.exe / scannow і отримуємо результат. В ХР раніше можливо було змінювати ключ в реєстрі (regedit.exe) який або включав цей захист або відключав, останньою можливістю користувалися брудні програмки, в сімці я не цікавився чи є такий ключ чи ні, пошуковик в допомогу. Отже якщо sfc виявила заміну файлів то просто необхідно вставити диск з ОС і вона замінить необхідні файли. Бувало таке що проходить час і знову заміна, і так по колу, навіть якщо диск лежить в приводі цілий день, то набридає це нескінченне шурхіт і звернення приводу до диску, отже хтось добряче перебирає всі файли і здійснює заміну треба відшукати цю заразу і видалити її.

Ще один момент це перевірка цифрових підписів драйверів і системних файлів c: windows system32 sigverif.exe теж просто у використанні що не вимагає пояснень.

sfc.exe або sigverif можна поставити на завантаження при включенні повісивши батник або зробивши за розкладом запуск даних верифікаторів.

Питання як видалити заразу якщо ми її виявили, але видалити не можемо так як або система кричить на нас що файл зайнятий і не може бути видалений, як бути? По-перше варто спробувати безпечний режим (F8 при завантаженні компа) для старих паразитних програм, По-друге якщо паразит новий і вміє себе захищати в безпечному режимі то слід використовувати завантажувальний live cd або завантажувальну флешку з подібною системою і встановленим хоча б файловим менеджером що б видалити паразита. По-третє можна застосувати екзотичний варіант як зняти гвинт і повісити slave щоб не з нього завантажитися а з іншого гвинта і почистити що необхідно.

Важливо зрозуміти що коли система заражена, краще не завантажуватися з неї так паразит включить і свій захист, яку ви в ручну не зможете зняти. Є варіант це заморозити файлову систему як на приклад це робить антивірусний сканер avz Олега Зайцева, можна пошукати щось подібне і застосовувати для своїх потреб. Всі подробиці є в книзі того ж автора сканера avz можете погортати.

Давно існують програми які можуть не тільки отримати доступ до зайнятих файлам але і їх видалити або скопіювати, можна спробувати і їх застосувати.

Всі звичайно зводиться до написання свого антивіруса, може це і так. Просто хотів показати що можна не користуватися антивірусом і не морочитися усіма цими прийомами що я описав, а користуватися яким або одним або просто взяти на озброєння для майбутнього.

Що стосується всяких паразитів на зразок adware, spyware і т.п то тут маємо справу вже з поганню в пам'яті, зазвичай зараження через * .dll але і не тільки через бібліотеки. перехоплення апі системних бібліотек та багато іншого. Тут більш серйозна справа, і необхідно вміти користуватися отладчиками hex редакторами та багатьма іншими інструментами, які більше підходять програмістам, крякери і т.п. Але й тут не все так страшно як може здатися (хоча без початкової теорії здасться дрімучим лісом) на перший погляд.