fejléc
Gyakori kérdések Belépés Új kérdés Véletlen kérdés
Keresés
Kezdőoldal » Számítástechnika » Biztonság » A vírusirtók mi alapján...

A vírusirtók mi alapján ellenőriznek?

Figyelt kérdés
Hogyan lehet egy exe fájlt például anélkül ellenőrizni hogy megnyitná?
2016. ápr. 10. 22:14
 1/6 anonim ***** válasza:
100%
A fájlokat olvasásra nyitja meg, ez nem egyenlő a futtatással.
2016. ápr. 10. 22:49
Hasznos számodra ez a válasz?
 2/6 anonim ***** válasza:
Eloszor megnezi, hogy a fajl nem egy ismert virus-e. Aztan belenez, hogy tartalmaz-e arto kodreszletet.
2016. ápr. 11. 01:07
Hasznos számodra ez a válasz?
 3/6 anonim ***** válasza:
100%

A #1-es hozzászóló jól fogalmazott: a víruskereső a .exe fájlt olvasásra nyitja meg, és úgy keres benne mintákat (ezeket a mintákat tartalmazza az időnként frissülő vírusdefiníciós adatbázis).


Abszolút(!!!) leegyszerűsítve: tegyük fel, hogy a normális .exe file az alábbi tartalommal bír (példa!):

01 01 02 03 05 08 0D 15

viszont a vírus módosítja - a módosítás a kártékony kód - a tartalmat ilyesmire:

01 01 A4 C6 BA 08 0D 15

a víruskereső meg ezt a módosított kódot:

A4 C6 BA

fogja keresni. Persze ennél bonyolultabb a dolog, de nagy vonalakban így néz ki.

2016. ápr. 11. 01:56
Hasznos számodra ez a válasz?
 4/6 anonim ***** válasza:

Amit a #3-as válaszadó leírt az az egyik típusa a víruskeresőknek, amelyek byte-szekvenciákat keresnek.


De ez csak a file alapú vírusokra hatásos. Vannak ezeken kívül boot-vírusok, amelyek a gép indításakor indulnak el (amelyek ellen az UEFI-t találták ki). Vannak a férgek, amelyek interneten keresztül jutnak be a rendszerekbe.


(de a legtöbb esetben maga a felhasználó fertőzi meg a rendszerét, úgy hogy elindít egy vírust abban a tudatban, hogy az egy hasznos program lesz)


De vannak trójai vírusok is, amelyek általában bejuttatnak egy szerver-t (trójai falovat) a rendszerbe, majd kívülről (egy cliens-el) utasításokat adnak a szervernek: pl indítsd újra a gépet, stb. (ezek ellen találták ki a tűzfalat, amely figyeli a számítógép portjait)


Nos tehát vannak olyan virusok, amelyek bizonyos portokon keresztül kommunikálnak, vagy rájuk jellemző cselekvéssorozatokat hajtanak végre (makró-virusok), és a viruskeresők ezeket a jellemvonásokat keresik...


...bár manapság már nem így működnek, hanem ha találnak valami gyanús állományt, akkor meg sem próbálják azt kijavítani, hanem letörlik.


De elmondhatjuk azt is, hogy sokszor maga a viruskereső egy vírus... :-) ...nagyok, lassítják a gép működését és néha fatális nagyot tévednek... ...pl egyszer írtam egy kisebb programrészletet, amely használta a tangens szögfüggvényt és majd a víruskeresőm azt jelezte, hogy vírus a program (amit fordítottam)... majd helyettesítettem a tangens-t sinus-szal és cosinus-szal, de akkor is virusnak érzékelte, röhej!

2016. ápr. 11. 14:35
Hasznos számodra ez a válasz?
 5/6 A kérdező kommentje:
Viszont egy ismert vírust programokkal "át lehet fordítani" belül, hogy a byte alapú vírusirtók ne észleljék, nem?
2016. ápr. 11. 15:56
 6/6 anonim ***** válasza:

Vannak az úgynevezett polimorf vírusok, amelyekben a kód változása módosítja a mintázatukat, de ugyanazt a működést hajtja végre.

[link]

[link]


Vannak olyan vírusok, ahol a fertőzést végző részt titkosítják, majd a dekódoló programot, a véletlenszerű kulcsot és a kódolt vírust helyezik el a fertőzendő programban:

[link]

2016. ápr. 11. 16:23
Hasznos számodra ez a válasz?

Kapcsolódó kérdések:

Számítástechnika főkategória kérdései »
Számítástechnika - Biztonság kategória kérdései »



Minden jog fenntartva © 2025, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu

A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!