Без антивируса

[Slavik]

Корн і Пепел Феникса, вы сказали что можно находить вирусы собствеными руками. Как вы этому научились? Ві по професии програмисты? Возможно ли этому научиться мне, простому студенту?

[FilipFray]

Slavik
Знание ключей автозапуска (не только ключа run) и основ работы О.С. помогут вам выявлять вредоносные объекты. Подозрительные файлы рекомендуется пропускать через поисковую систему. Есть программы, которые помогают в этом (avz, hijackthis, gmer, rsit, ice sword и т.п.). Дизассемблирование так же пригодится.

[Пепел Феникса]

Славик, я программирую(Корн как я знаю тоже)
я более предпочитаю всетаки не допускать заражения нежели лечить потом систему...
из советов на эту тему:
1)отключить автозапуск
2)проверять регулярно автозагрузку
3)не запускать что попало
4)безопасный браузер(интернетом то пользуемся)
5)файвол
и тд

а насчет нахождения вирусов
в первую очередь это умение понять(и желательно сразу) что тя поимели
и там уже вычислить/удалить виноватых не трудно

[KORN]

я работаю сисадмином и мне постоянно приносят компьютеры которые уже заражены чем либо... на большинстве компьютеров нету либо убиты антивирусы, либо вирус просто не дает запускать их... для этого я просто вооружаюсь process explorer'om и смотрю какие процессы "мне не нравятся" и начинаю их сносить... так же смотрю где находится файл... если у меня есть подозрения насчет него я его проверяю на virustotal.com
если подозрения подтверждаются то удаляю файл подчищаю реестр заливаю какой нить Cureit и сканирую... когда много практикуешься то начинаешь знать уже конкретные вирусы и как их удалять... иногда даже несколько оригинальными способами: например есть вирус который заражает explorer.exe и начинает повсюду создавать свои autoran.inf и как уго удалить если под рукой нет антивируса который его выключит7 а все очень просто... завершаем процесс и удаляем файл... а система его сама восстановит из своего дистрибутива неповрежденным... это лишь малая часть того что нужно знать...

для повышения знаний я ставил систему на виртуальную машину и заливал туда всего пару программ и запускал вирус... далее я сам вычислял где он находится и что делает и пытался его удалить... после того как заканчивал я ставил антивирус и проверял систему на чистоту...

еще главное быть наблюдательным... т.к. многие вирус и трояны называют себя так же как и системные процессы например csrss.exe, но находится он просто в другой папке и запущен он уже не системным процессом, а пользовательским...

в общем я тебе советую так же ставить систему на виртуальную машину и там практиковаться...

[Utkin]

Цитата:

Сообщение от Slavik

Корн і Пепел Феникса, вы сказали что можно находить вирусы собствеными руками. Как вы этому научились? Ві по професии програмисты? Возможно ли этому научиться мне, простому студенту?

Конечно возможно, главное немного подумать. Я примерно такими же способами борюсь со всякой фигней. Изредка запускаю Cure It!, на всякий пожарный. И не использую постоянного вирусного монитора - только память жрет и процессорное время, такой же вирус по сути. Хоть Касперский, хоть бесплатная прога.

[motaro]

без антивируса- это в падлу заморачиватся с поиском вирусов. поставил касперского и все четко!

[KORN]

Цитата:

Сообщение от motaro

без антивируса- это в падлу заморачиватся с поиском вирусов. поставил касперского и все четко!

это ты так думаешь... а если вируса в базе нету7 то что7

какие все всё таки наивные

[Hollander]

Не согласен с тем, что ручной поиск вирусов является эффективным. И выявление по имени файла тоже как-то не укладывается в голове. Мало что ли вирусов которые имеют имена как и у системных файлов и ложаться в папку Windows. Не думаю, что вы всегда знаете сколько должно быть процессов svchost.exe. Антивирус должен стоять на компе. Даже по крайней мере на случай, если вам попадется вирус, который просто тупо будет затирать ваши файлы. Даже если вы заметите его действие в течении 30 секунд, то, предположим что скорость перезаписи на винте равна 10 мб/сек, вы потеряете 3 гига инфы.

[Xatr]

Вирусы типа alman, sality, neshta и другие похожие по заражению можно найти без антивируса. Для этого нужно знать вид текста программы. Такие вирусы пишут свою копию в начало программы, а исходный текст - пишут в конец. Текст всех программ (кроме SFX архивов, оверлейных или пакованных exe пакерами кроме UPX) всегда заканчивается нулевыми байтами. Поэтому в конце заражённой программы будет текст в виде пакованных данных (например в виде текста архива) или "родное начало" программы-жертвы. Значит эта программа заражена. Но вылечить такие программы лучше антивирусом. Будет больше гарантий, что вылеченная программа будет работать. Чтобы посмотреть текст, можно воспользоваться обычным листером в total commander.

[JTG]

Вот вам и нулевые байты - часть секции ресурсов упакована и в освободившееся место помещён вредоносный код, размер/энтропия файла не изменилась - вот это тру-вирус


Совсем без антивируса плохо, у меня касперский с базами двухмесячной давности - анализатора активности хватает с головой, сигнатурный поиск фтопку