(С) Александр Вячеславович Фролов, 2004
Удаление вирусов без применения антивирусных программ
Удаление вирусов с применением антивирусных программ
На предыдущих занятиях мы научились классифицировать компьютерные вирусы и другие вредоносные программы, рассмотрели основные механизмы распространения и вредоносные действия. Мы рассказали о способах обнаружения вредоносных программ, используемых современными антивирусами.
На этом занятии мы кратко рассмотрим способы удаления вредоносных программ. Мы покажем, что это можно делать без применения антивирусных средств, а также с применением антивирусов. Сразу заметим, что второй способ всегда предпочтительней, так как обладает большей надежностью.
В некоторых случаях можно удалить вирус или другую вредоносную программу без применения антивируса.
Заметим, что данный способ подходит только опытному пользователю. Для успешного выполнения этой операции надо точно знать механизм внедрения вируса, а также внутреннее устройство операционной системы и назначение определенных ключей регистрационной базы данных.
Требуется также владение специальными программными средствами, предназначенными для просмотра и редактирования содержимого файлов и секторов диска. Возможно, в некоторых случаях пригодятся и навыки в программировании.
В некоторых случаях для удаления вируса вручную достаточно стереть файл с программным кодом вируса, а также отредактировать соответствующим образом регистрационную базу данных ОС Microsoft Windows.
Удаление вредоносных программ без применения антивирусов возможно не всегда и доступно только пользователям с очень высокой квалификацией
Иногда для ручного удаления вируса потребуется изменение содержимого некоторых секторов диска при помощи специальной программы — редактора диска.
Часто пользователи пытаются удалить компьютерные вирусы, выполняя форматирование диска или дискеты на уровне команд ОС. Такое форматирование предполагает удаление всех файлов и формирование структур файловой системы «с нуля».
Проблема, однако, в том, что загрузочные вирусы находятся не внутри файлов, а располагаются в служебных секторах диска. Форматирование с помощью средств ОС не удаляет такие вирусы. Файловые же вирусы будут удалены вместе с файлами.
Форматирование диска и дискет средствами ОС не позволяет избавиться от загрузочных вирусов
Форматирование диска на низком уровне предполагает уничтожение содержимого всех секторов диска и, возможно, обновление служебной информации, без формирования структур файловой системы.
При таком форматировании будет уничтожено содержимое всех секторов диска. Низкоуровневое форматирование уничтожает вместе со всеми файлами и загрузочные вирусы.
Намного эффективнее удаление вредоносных программ может быть проведено при помощи антивирусов. Использование антивирусов не требует наличия специальных знаний и предполагает лишь знакомство с документацией.
Тем не менее, для эффективной защиты пользователю антивируса настоятельно рекомендуется ознакомиться с рекомендациями, представленными в нашем курсе.
Использование антивирусных программ не требует высокой квалификации и доступно практически любому пользователю компьютера
Современные антивирусные программы способны эффективно обнаруживать вредоносные объекты внутри файлов программ и документов. В некоторых случаях антивирус может удалить тело вредоносного объекта из зараженного файла, восстановив файл.
Заметим, однако, что антивирусная программа, как правило, не может удалить тело вируса из зараженного файла таким образом, чтобы восстановить этот файл с точностью до байта.
Пользователю рекомендуется восстановить «вылеченные» файлы программ из резервной копии или установить эти программы заново из дистрибутивов.
Исключение — комбинация ревизора диска ADinf с лечебным модулем ADinf Cure Module. Эта комбинация антивирусных программ позволяет всегда в точности восстанавливать исходное содержимое поврежденных файлов.
При удалении вредоносного объекта из файла антивирус не может восстановить исходное состояние зараженного файла с точностью до байта
Что же касается файлов офисных документов, т.е. документов, создаваемых одним из офисных приложений, таким как Microsoft Word, Microsoft Excel, Microsoft Access и т.п., то в большинстве случаев антивирусы могут удалить из них вредоносные объекты. При этом работоспособность документа будет полностью восстановлена.
Тем не менее, бывает и так, что после удаления тела вредоносного программного объекта из файла офисного документа этот документ приходит в негодность. В этом случае «вылеченный» антивирусом документ придется восстанавливать из архивной копии.
При повреждении офисных документов, делающих работу с ними невозможной, можно попытаться воспользоваться услугами специалистов по восстановлению данных.
Антивирус способен в большинстве случаев удалить вредоносный программный объект из файла офисного документа, не нарушив его целостность
Современные антивирусы, использующие эвристические алгоритмы, способны удалять из файлов известные вирусы, в том числе полиморфные и шифрующиеся.
Если же отключить эвристические алгоритмы, то антивирус не сможет удалять полиморфные и шифрующиеся вирусы, т.к. она даже не сможет их обнаружить.
Что же касается неизвестных вирусов, то их удаление проблематично. Обнаружив с помощью эвристического анализатора неизвестный вирус, антивирусная программа, скорее всего, сможет предложить пользователю только удаление инфицированного файла.
Если антивирусная программа обнаружила в теле файла вирус или другой вредоносный программный объект, но не может его оттуда удалить, необходимо удалить сам файл при помощи антивирусной программы
Антивирусные программы, созданные специально для сканирования трафика электронной почты или баз данных почтовых программ, способны удалять вредоносный код из тела почтовых сообщений.
При этом получателю и отправителю такого сообщения обычно автоматически посылается уведомление о наличии вредоносного объекта.
Для удаления вредоносных программных объектов из баз данных систем автоматизации документооборота (таких как Microsoft Exchange или Lotus Notes) следует использовать специальные антивирусы. Как мы уже говорили, обычные антивирусы, рассчитанные на поиск вирусов и вредоносных программ в файлах, тут не помогут.
На 6 занятии мы рассмотрели способы удаления вредоносного кода без применения антивирусных программ, а также с применением антивирусов.
Мы отметили, что только использование антивирусов позволяет пользователям, не обладающим очень высокой квалификацией, эффективно бороться с компьютерными вирусами и другими вредоносными программами.
После удаления вредоносного кода из файла его состояние, как правило, не может быть восстановлено в точности. Это может привести к неработоспособности «вылеченных» программ и повреждению файлов офисных документов.
Иногда антивирус не в состоянии удалить из файла тело вируса. В этом случае пользователь должен удалить инфицированный файл при помощи антивирусной программы.
Специализированные антивирусы способны удалять вредоносные программные объекты из сообщений электронной почты, а также из баз данных систем автоматизации документооборота.