Как выжить без антивируса?

Как выжить без антивируса?

Хочу сказать в первую очередь что ошибки не исправлял ведь это не сочинение и не экзамен в школе, а просто мои мысли на счет данной темы во-вторых я пытался дать указания,советы как и что делать, порой только намеки или поверхностные сведения, если есть вопросы или замечания буду рад принять и конструктивную критику и просьбы узнать большее: lifeisound собачка gmail.com.



Предупреждаю что данная статья предназначена для опытных пользователей, которые хотя бы поверхностно знакомы с «железом» компьютера, структурой ОС, а желательно имели какой либо опыт программирования на любом современном языке программирования. В любом случае не хочу отпугивать жаждущих и каждый может всё ниже описанное повторить без каких либо академических знаний выше описанного, если привлечёт то возможно со временем и узнаете всё необходимое.

Будем отталкиваться от того что вы к примеру как и я не любитель антивирусов, или просто хотите узнать как же все таки возможно не только не пользоваться антивирусом, но и выловить вирусы своими руками при минимальном опыте, и с небольшим набором маленьких программ-инструментов утилит. В любом случае многие должны со мной согласиться, что в жизни бывают различные ситуации такие например как банальная проблема нет диска с антивирусом, потеряли ключ для него, или нет интернета и куча других проблем. При любом раскладе что вы теряете? время, силы, деньги, если так то эта стратегия не для вас, можете дальше не читать, а приобрести вы сможете многое, просто уталить жажду знаний, узнать принципы и повадки «нечисти» и как её вылавливать почти голыми руками и конечно же опыт, если будете тренироваться и экспериментировать. Итак дана задача нет антивируса и

а) есть подозрение что пробрался вирус/червь/adware/spyware/троян/ и т.п
б) нет подозрения но все таки хочется узнать, чиста ли система?

С первым вариантом все ясно если у вас есть чувство что с системой что-то не так (Neo тук-тук проснись :) появляются синие экраны, частые перезагрузки, перебрасывает на другие сайты, или даже явные признаки заражения блокировка окон, клавиатуры и т.д и т.п. На счет синих экранов перезагрузок и не включения здесь возможно даже вирусами и не пахнет проблема может возникнуть в неладах с железом, блок питания,память,кривые дрова или даже софт и все в таком роде. На этом этапе важно решить в чём проблема в аппаратной части или в программной и дальше уже продолжать устранять проблему. Здесь вам поможет строгая логика или друг более знакомый с данной ремонтной тематикой. Ну надеюсь у вас всё нормально с железом и мы продолжим введение в компьютерную заразу.

Второй случай как ни странно принципиально ни чем не отличается от первого в силу того что существует такая вероятность что зараза сидит тихо и выполняет свои функции не обязательно такие явные действия (ворует пароли, вашу переписку, и т.п) короче говоря скрывает своё присутствие. Наша зада состоит в том что бы узнать действительно ли кто-то здесь не законный скрывается или все таки это паранойя :)

Многие инструменты можно найти на http://cracklab.ru/
Не буду долго рассказывать теорию и лить воду. Просто напишу свои мысли на счет данной темы.
Это что-то вроде методички как изловить гада :)

0. Если файл (не обязательно *.exe;*.dll расширение может быть каким угодно) лежит в какой либо подпапке windows и:

1.Если файл размером до 100-200 кб

2.нет цифровой подписи (смотрим свойства файла)

3.нет информации о компании (теже свойства)

4.если файл принадлежит крупной компании вроде microsoft и запакован (не зипом и не раром а *.exe упаковшики,протекторы вроде upx,asprotect,armadillo) выясняется при сканировании программа вроде peid,lordpe или что-то поновее

5.процесс пожирает много памяти или процессорного времени (сильно загружает процессор)

6.стоит посмотреть все открытые файлы в системе (если вирус сканирует весь винт, то можно увидеть как он перебирает весь винчестер) не стоит путать с другой программой дефрагментатором или еще какой либо сторонней установленной программой

Вероятность большая что это паразит, стоит его попробывать удалить не забыв сделать копию, а лучше запаковать и отложить в сторонку.

Стоит один раз сделать такую важную вещь как создать эталонный файл md5 самых важных файлов.
Объясню что это такое. как только мы переустановили систему и начали жить с нового листа т.е с нового чистого винта.то берем всю папку c:\windows со всеми вложенными папками и снимаем со всех системных файлов контрольные суммы md5 любой утилитой которая предоставит полный отчет после создания отпечатков файлов. теперь мы можем автоматизировать это дело к примеру через батники

*.bat *.cmd создав сценарии выполнения профилактики. т.е что делает коммандный файл? он запускает нашу программу для снятия новых md5 и потом после создания нового отчета, сравнивает его с эталонным чистым отчетом, если выявляются различия, то стоит бить тревогу и поднимать караул. Можно взять из того же арсенала ОС утилиту fc.exe лежащую в c:\windows\system32\fc/? стоит использовать двоичное сравнение если просто необходимо сравнить две программы или библиотеки, а в случае готового мд5 рапорта можно и текст сравнивать

Но могут быть и исключения вот из-за чего:
1.Скачиваемые обновления microsoft конечно могут заменить системный файл на пропатченный
2.обновления сторонних компаний adobe, sony и многие другие
3.скопировал сам в системную папку на пример файл *.dll и забыл, что заменил на другую версию :)

Что из этого следует что необходимо учитывать все эти обновления, патчи, переустановку, установку новых программ и т.п. Это наталкивает нас на ведение логов в системе, ОС имеет и так систему логирования многих изменений в системе,панель управления-журналы. Но можно и что-то свое поставить.

Многие забывают, а кто-то и не знает про то что ОС сама имеет возможность проверять целостность системных файлов и завется она sfc.exe. Все банально просто запускаем коммандную строку Выполнить (Windows+R)->cmd->sfc.exe /scannow и получаем результат. В ХР раньше возможно было изменять ключ в реестре (regedit.exe) который или включал эту защиту или отключал, последней возможностью пользовались грязные программки, в семерке я не интересовался есть ли такой ключ или нет, поисковик в помощь. Итак если sfc обнаружила замену файлов то просто необходимо вставить диск с ОС и она заменит необходимые файлы. Бывало такое что проходит время и опять замена, и так по кругу, даже если диск лежит в приводе целый день, то надоедает это бесконечное шуршание и обращение привода к диску, следовательно кто-то изрядно перебирает все файлы и совершает замену надо отыскать эту заразу и удалить её.

Еще один момент это проверка цифровых подписей драйверов и системных файлов c:\windows\system32\sigverif.exe тоже просто в использовании что не требует объяснений.
sfc.exe или sigverif можно поставить на загрузку при включении повесив батник или сделав по расписанию запуск данных верификаторов.

Вопрос как удалить заразу если мы её обнаружили, но удалить не можем так как либо система кричит на нас что файл занят и не может быть удален, как быть? Во-первых стоит попробывать безопасный режим (F8 при загрузке компа) для старых паразитных программ, Во-вторых если паразит новый и умеет себя защищать в безопасном режиме то следует использовать загрузочный live cd или загрузочную флешку с подобной системой и установленным хотя бы файловым менеджером что бы удалить паразита. В-третьих можно применить экзотический вариант как снять винт и повесить slave дабы не с него загрузиться а с другого винта и почистить что необходимо.

Важно понять что когда система заражена, лучше не загружаться с неё так паразит включит и свою защиту, которую вы в ручную не сможете снять. Есть вариант это заморозить файловую систему как на пример это делает антивирусный сканер avz Олега Зайцева, можно поискать что-то подобное и применять для своих нужд. Все подробности есть в книге того же автора сканера avz можете полистать.
Давно существуют программы которые могут не только получить доступ к занятым файлам но и их удалить или скопировать, можно попробывать и их применить.

Все конечно сводится к написанию своего антивируса, может это и так. Просто хотел показать что можно не пользоваться антивирусом и не заморачиваться всеми этими приемами что я описал, а пользоваться каким либо одним или просто взять на вооружение для будущего.

Что касается всяких паразитов вроде adware,spyware и т.п то здесь имеем дело уже с дрянью в памяти, обычно заражение через *.dll но и не только через библиотеки. перехват апи системных библиотек и многое другое. Здесь более серьезное дело, и необходимо уметь пользоваться отладчиками hex редакторами и многими другими инструментами, которые больше подходят программистам, крякерам и т.п. Но и здесь не все так страшно как может показаться (хотя без начальной теории покажется дремучим лесом) на первый взгляд.