Методы удаления последствий заражения вирусами

Дезактивация оперативной памяти

Восстановление файлов

В подавляющем большинстве случаев восстановление зараженных файлов является достаточно сложной процедурой, которую невозможно произвести без необходимых знаний — форматов выполняемых файлов, языка Ассемблера и т. д. К тому же обычно зараженными на диске оказываются сразу несколько десятков или сотен файлов и для их обезвреживания необходимо разработать собственную программу-антивирус.

При лечении файлов следует учитывать следующие правила:

• необходимо протестировать и вылечить все выполняемые файлы (СОМ, ЕХЕ, SYS, оверлеи) во всех каталогах всех дисков вне зависимости от атрибутов файлов;

• желательно сохранить неизменными атрибуты и дату последней модификации файла;

• необходимо учесть возможность многократного поражения файла вирусом.

Само лечение файла производится в большинстве случаев одним из нескольких стандартных способов, зависящих от алгоритма размножения вируса.

В большинстве случаев это сводится к восстановлению заголовка файла и уменьшению его длины.

Процедура дезактивации памяти, как и лечение зараженных файлов, требует некоторых знаний об операционной системе и обязательного знания языка Ассемблер.

При лечении оперативной памяти следует обнаружить коды вируса и изменить их таким образом, чтобы вирус в дальнейшем не мешал работе антивирусной программы, — "отключить" подпрограммы заражения и "стеле".

Для этого требуется полный анализ кода вируса, так как процедуры заражения и "стеле" могут располагаться в различных участках вируса, дублировать друг друга и получать управление при различных условиях.

В процессе удаления последствий заражения вирусами осуществляется удаление вирусов, а также восстановление файлов и областей памяти, в которых находился вирус. Методы удаления последствий воздействия вирусов антивирусными программами:

1. Восстановление системы после воздействия известных вирусов. Разработчик программы-фага, удаляющей вирус, должен знать структуру вируса и его характеристики размещения в среде обитания.

2. Восстановление файлов и загрузочных секторов, зараженных неизвестными вирусами. Для восстановления файлов программа восстановления должна заблаговременно создать и хранить информацию о файлах, полученную в условиях отсутствия вирусов. Имея информацию о незараженном файле и используя сведения об общих принципах работы вирусов, осуществляется восстановление файлов. Если вирус подверг файл необратимым изменениям, то восстановление возможно только с использованием резервной копии или с дистрибутива. При их отсутствии существует только один выход - уничтожить файл и восстановить его вручную.

Если антивирусная программа не может восстановить главную загрузочную запись или загрузочные сектора, то можно попытаться это сделать вручную. В случае неудачи следует отформатировать диск и установить ОС.

Существуют вирусы, которые, попадая в ЭВМ, становятся частью его ОС. Если просто удалить такой вирус, то система становится неработоспособной.

Одним из таких вирусов является вирус One Half. При загрузке ЭВМ вирус постепенно зашифровывает жесткий диск. При обращении к уже зашифрованным секторам резидентный вирус One Half перехватывает обращения и расшифровывает информацию.

Удаление вируса приведет к невозможности использовать зашифрованную часть диска. При удалении такого вируса необходимо сначала расшифровать информацию на диске. Для этого необходимо знать механизм действия вируса.