Horse Usb Drive
Une façon simple de protéger contre les programmes malveillants – Partie 1
Ok, commençons par quelques définitions, il vous suffit de lire attentivement et n'hésitez pas à me contacter pour tout assistant, les derniers jours, j'ai reçu beaucoup de demandes de renseignements concernant les virus, les vers et les bactéries, etc alors j'ai remarqué que beaucoup de gens ont confondu sur certains termes, nous allons voir
Virus
Un virus informatique est un programme informatique ou script qui peut se copier et de contaminer un ordinateur dépourvu de l'autorisation ou des connaissances de l'utilisateur. Le nom de «virus» est aussi couramment utilisé pour désigner de nombreux types de programmes malveillants et logiciels publicitaires. Le virus d'origine peut modifier les copies ou les copies peuvent modifier eux-mêmes. Un virus ne peut se propager d'un ordinateur à un autre lorsque son hôte est prise à l'ordinateur infecté, par exemple par un utilisateur de l'envoyer sur un réseau ou Internet, ou par la réalisation c'est sur un support amovible comme une disquette, CD ou clé USB. En attendant virus peuvent se propager à d'autres ordinateurs en infectant des fichiers sur un système de fichier partagé en réseau.
Virus récents peuvent également profiter de services de réseau tels que le Web, Wide e-mail, messagerie instantanée et les systèmes de partage de fichiers à se répandre.
Virus Phases:
Phases de virus peuvent être regroupées en quatre catégories énumérées ci-dessous:
- Phase dormante: Le Le virus est inactif.
- Phase de propagation: Le virus met une copie identique de soi dans d'autres programmes.
- Déclenchement Phase: La Virus est activé pour exécuter la fonction pour laquelle il était destiné.
- Phase d'exécution: La fonction est exécutée.
Types des virus:
Les virus parasites
Un virus parasite s'attache à un fichier dans Afin de se propager. Il se conserve généralement la plupart des fichiers intacts et ajoute soit lui-même le début ou la fin du fichier des fichiers COM et EXE sont plus faciles à infecter, car ils sont simplement chargés directement dans la mémoire et l'exécution commence toujours à la première instruction.
Les virus résident en mémoire
Un virus qui reste en mémoire après son exécution et après son programme hôte est terminée. En revanche, les non-résidents en mémoire que des virus sont activés lorsque la demande infecté est exécuté.
Virus résident contenir un module de réplication qui est similaire à celle qui est employée par les virus non résidents. Cependant, ce module n'est pas appelé par un viseur module. Au lieu de cela, le virus des charges du module de réplication en mémoire quand elle est exécutée et assure que ce module est exécuté à chaque fois que le système d'exploitation est appelé à effectuer une certaine opération. Par exemple, le module de réplication peut être appelé à chaque fois le système d'exploitation exécute un fichier. Dans ce cas, le virus infecte chaque programme adapté qui est exécuté sur l'ordinateur.
Virus résident sont parfois subdivisés en une catégorie de infecteurs rapide et une catégorie de infecteurs lente. Infecteurs rapide sont conçus pour infecter autant de fichiers que possible. Par exemple, un infecteur rapide peut infecter tous les fichiers hôte potentiel qui est accessible. Cela pose un problème particulier aux logiciels anti-virus, car un scanner de virus auront accès à chaque fichier hôte potentiel sur un ordinateur lorsqu'il il effectue un scan du système. Si le scanner de virus ne remarque qu'un tel virus est présent dans la mémoire, le virus peut utilise le scanner de virus et de cette manière infecter tous les fichiers qui sont scannés. Rapide infecteurs compter sur leur taux d'infection rapide à se répandre. L'inconvénient de cette méthode est que infecter de nombreux fichiers peut rendre la détection plus probable, car le virus peut ralentir un ordinateur ou d'effectuer des de nombreuses actions suspectes qui peut être remarqué par un logiciel antivirus. Infecteurs lent, d'autre part, sont conçues pour infecter les hôtes rarement. Par exemple, certains infecteurs lente n'infectent que les fichiers quand ils sont copiés. Infecteurs lente sont conçus pour éviter la détection en limitant leurs actions, ils sont moins susceptibles de ralentir sensiblement d'un ordinateur, et sera plus à déclencher rarement anti-virus logiciel qui détecte les comportements suspects des programmes.
Les virus secteur de démarrage
Un virus secteur de démarrage est un virus informatique qui infecte le secteur de boot sur les disques durs, disquettes, et théoriquement aussi d'autres supports comme les CD amorçables et DVD.
Un virus de secteur d'amorçage infecte ou de substituts de ses propres code pour soit le secteur d'amorçage DOS ou le Master Boot Record (MBR). Le MBR est petit programme qui s'exécute chaque fois que l'ordinateur démarre. Il contrôle la séquence de démarrage et détermine quelle partition l'ordinateur démarre à partir. Le MBR se trouve généralement sur le premier secteur du disque dur.
Depuis le MBR s'exécute chaque fois qu'un ordinateur est démarré, un virus de secteur d'amorçage Il est extrêmement dangereux. Une fois le code de démarrage sur le disque est infecté, le virus va être chargé en mémoire à chaque démarrage. De mémoire le virus d'amorçage peut se propager à chaque disque que le système lit.
Certains réglages CMOS peut être configuré pour empêcher l'écriture pour le secteur d'amorçage du disque dur. Cela peut être de quelque utilité contre les virus de secteur d'amorçage. Cependant, si vous avez besoin de réinstaller ou mettre à niveau le système d'exploitation, vous aurez à changer le réglage arrière pour faire le MBR en écriture à nouveau.
Virus furtifs
Une virus furtif est un virus de fichier qui utilise des techniques spéciales pour cacher sa présence auprès des utilisateurs et des scanners de virus. Ceci est réalisé en interceptant la requête de lecture vers le fichier et en retournant le contenu de l'original de la demande de lecture de fichiers non infectés. Une fois l'ordinateur a été infecté, le virus peut faire des modifications pour permettre à l'ordinateur d'apparaître qu'elle n'a pas perdu toute la mémoire et / ou que le taille du fichier n'a pas changé.
Quand un programme antivirus essaie de détecter le virus, le furtivité du virus alimente le programme antivirus une image propre du fichier ou du secteur d'amorçage.
Les virus polymorphes
C'est un virus qui change sa signature à chaque fois en se réplique et infecte un nouveau fichier dans le but de tromper le programme antivirus. Mais quelle est la signature de virus? La signature de virus est comme une empreinte digitale en ce sens qu'il peut être utilisé pour détecter et identifier des virus spécifiques. En outre, il pourrait se référer à un algorithme de hachage ou qui identifie un virus spécifique. Il peut être un hachage statique numérique calculée valeur d'un extrait de code unique pour le virus. Aussi, l'algorithme peut être basée sur le comportement anti-virus utilise les signatures de virus pour scanner pour détecter la présence de code malveillant.
Bactéries
Les bactéries sont des programmes qui ne sont pas explicitement dommages tous les fichiers. Leur seul but est de se répliquer. Les bactéries se reproduisent de façon exponentielle, prenant finalement toute la capacité du processeur, la mémoire ou l'espace disque.
Worms
Un ver informatique est un programme informatique d'auto-réplication. Elle utilise un réseau d'envoyer des copies de lui-même à d'autres nœuds (terminaux informatiques sur le réseau) et il peut le faire sans aucune intervention de l'utilisateur. Contrairement à un virus, il n'a pas besoin de se rattacher à un programme existant. Worms presque toujours causer des dommages au réseau, si ce n'est que par la consommation de bande passante, alors que les virus presque toujours corrompus ou modifier des fichiers sur un ordinateur ciblé.
Beaucoup de vers sont sous forme de pièces jointes aux courriels, ou des ajouts comme caché aux messages e-mail réelle, dont déclencher l'exécution de code infectieux, En plus de messagerie, les vers peuvent également infecter les ordinateurs via des sites Web, les systèmes de partage de fichiers, messages instantanés, et plus encore. Par conséquent, n'importe quel ordinateur connecté à l'Internet risque d'être infecté par un ver malicieux.
Une fois installé sur un ordinateur, vers spontanément générer des messages e-mail supplémentaire contenant des copies du ver. Ils peuvent aussi ouvrir les ports TCP pour créer des trous de sécurité des réseaux pour d'autres applications.
Cheval de Troie
L' expression est dérivée de l'histoire classique du cheval de Troie. En sécurité informatique un cheval de Troie est un programme ou procédure de commande contenant un code caché qui, lorsqu'il est invoqué, effectue quelques indésirables ou Fonction nuisibles. Les chevaux de Troie peuvent être utilisés pour accomplir des fonctions indirectement qu'un utilisateur non autorisé ne pourrait pas accomplir directement. Par exemple, pour accéder aux fichiers d'un autre utilisateur sur un système partagé, un utilisateur pourrait créer un programme cheval de Troie qui, lorsqu'il est exécuté, des changements de permissions de fichiers de l'utilisateur appelant afin que les fichiers sont lisibles par tout utilisateur.
Troie cheval est presque conçu pour causer des dommages, mais il peut aussi être inoffensifs. Ils sont classés en fonction de la manière dont ils violent et les systèmes de dégâts. Les six principaux domaines où les chevaux de Troie sont souvent utilisées:
- · Accès à distance
- Destruction des données
- · Downloader
- · Serveurs (proxy, FTP, IRC, email, HTTP / HTTPS, etc)
- · Les paramètres de sécurité disabler
- · Le déni de service attaque (DoS)
Logique La bombe
Une bombe logique est un morceau de code volontairement inséré dans un système logiciel qui va déclencher une fonction malveillante lorsque les conditions spécifiées sont remplies. Par exemple, un programmeur peut cacher un morceau de code qui commence à supprimer des fichiers importants.
Certains utilisent une bombe logique est d'assurer le paiement pour les logiciels. Si le paiement n'est pas faite par une certaine date, la bombe logique active et le logiciel supprime automatiquement lui-même. Une forme plus malicieux de cette bombe logique serait également supprimer d'autres données sur le système.
Trap Door
Point d'entrée sans papiers écrits en code pour le débogage qui peuvent permettre à l'utilisateur indésirables d'accéder au système.
Trap Door peut être un matériel ou un logiciel basé et il est toujours caché agissant comme entrée d'un système informatique qui peut être utilisé pour contourner le système de politiques de sécurité.
Cher lecteur maintenant c'est le temps d'apprendre à distinguer entre tout simplement mentionné les programmes malveillants, certains on peut se demander pourquoi j'ai besoin de faire la distinction Parmi ces programmes. OK, afin de protéger votre système, vous devez d'abord savoir que vous êtes protéger contre quoi. Parce que chaque programme malveillant a sa propre technique, afin de défendre.
Soyons plus concrets et d'apprendre comment les programmes malveillants peuvent affecter nos fichiers, nous allons essentiellement parler de système d'exploitation Windows.
L'exploitation Windows système reconnaît les types de fichiers et les associe à des programmes en fonction de leur extension de fichier. Cela signifie que Windows peut reconnaître nom_fichier.htm comme étant associé à Internet Explorer. Ainsi, quand un utilisateur ouvre nom de fichier avec l'extension htm, Windows va d'abord ouvrir Internet Explorer qui va gérer l'ouverture du fichier. Lorsque Windows est installé, certaines associations de type de fichier sont automatiquement assignées, comme par exemple le gestionnaire par défaut pour les fichiers. txt est le programme Bloc-notes.
Lorsque de nouveaux programmes sont installés sur le système, ils ajoutent souvent nouveaux types de fichiers associés avec ce programme ou même de changer les associations précédentes type de fichier à être traitées par le nouveau programme. Considérez Windows Media Player (WMP) est le gestionnaire par défaut pour les fichiers. MP3, si le programme similaire est installé, il vous invite lors de l'installation de changer le gestionnaire par défaut de WMP à celle-là même de nouveaux (puisque les deux applications ont la possibilité d'ouvrir mêmes fichiers de données). Et Si autorisé, ce qui cause une des fichiers MP3 (ou tout autres, il peut avoir réenregistré) qui sera ouverte par le programme installé de nouvelles à l'avenir, au lieu de WMP.
Les virus peuvent exploiter ne fichiers et de leurs associations ailleurs Virus pouvez modifier certains d'extension ou de les rediriger vers un autre programme caché. Il est important que la visualisation extension de fichier est activé et que vous êtes au courant des extensions qui sont associés avec quels programmes. Avant de poursuivre, assurez-visualisation extension de fichier est activé sur votre système.
La plupart des communes des codes malveillants contamine sont faites par la compilation des scripts. Lorsque vous avez l'extension de fichier. Vbs (ces fichiers écrit en utilisant VBScript et il est un langage de script), il est exécuté par wscript.exe que son programme associé.
Le but principal de ce programme est de permettre aux développeurs de construire leur propre instruction en utilisant notepad ou un éditeur libre pour écrire le code et l'enregistrer avec. vbs extension (ou tout autre script formats), lorsque vous cliquez sur le fichier de telle fonction ou certains fonctions sont assurées grâce à son programme associé principalement l'hôte de script Windows basée (Wscript.exe) à faire des tâches spécifiques, si le code a été écrit par un pirate ou Cracker alors cette tâche peut nuire à votre ordinateur.
La question est-on vraiment besoin de l'wscript.exe? Ok, cela dépend de plusieurs éléments tels que si vous utilisez un ordinateur individuel ou pas? Que faire si vous ou celui qui peut partager l'ordinateur avec vous sont intéressants dans le développement de code? Nombre d'utiles programmes qui ont été installés sur votre système et ils ont besoin d'utiliser ou d'accéder à certains fichiers de script.
Si vous êtes confus au sujet de votre réponse ou vous n'êtes pas sûr ne inquiétez pas nous allons vous montrer une façon facile d'obtenir un tour du débogage des scripts indésirables sans avoir à retirer le wscript.exe, tout simplement, nous allons changer l'association du fichier de script qui ont le . Vbs extension à être établie en utilisant le Bloc-notes non liées par exemple le programme.
Commençons par étapes, d'abord sur votre Windows, sélectionnez Outils explorateur,
Deuxième du menu Options des outils de sélectionner un dossier, puis cliquez sur Types de fichiers et naviguer onglet jusqu'à ce que vous trouverez votre extension souhaitée, ici nous avons besoin de mentionner que c'est totalement danger pour modifier aléatoirement l'association de fichier pour toute extension sauf si vous savez ce que vous faites, sinon vous le cas un problème sérieux pour votre système d'exploitation et il peut être totalement endommagé. Alors s'il vous plaît essayer d'être prudent en choisissant votre extension de fichier.
Troisièmement, appuyez sur le bouton Modifier, et de fenêtre Ouvrir avec le Bloc-notes choisissez.
Assurez-vous que l'option Toujours utiliser le programme sélectionné pour ouvrir ce type de fichier, est cochée puis appuyez sur OK, puis sur Fermer.
En ce moment, vous devriez savoir comment désactiver la capacité de Windows d'exécuter certains les données des scripts de fichiers en fonction de leurs extensions. sans supprimer le programme wscript.exe, Pour ré-activer le débogage de script pour certains d'extension faire la même procédure et sélectionnez wscript au lieu de Notepad ou appuyez simplement sur le bouton de réinitialisation.
À côté des scripts de débogage des gros paquets sont souvent inclure leurs propres langages de programmation intégré. Dans ce cas le code malveillant peut être écrite comme des macros. Avant d'aller plus loin nous allons mettre d'accord sur cela, la macro est une instruction qui effectue une liste des commandes du programme automatiquement. Certaines applications (exemple: traitement de texte, tableurs, diapositives de présentation et un peu plus.) permettent aux programmes macro pour être intégrées dans les documents, de sorte que les macros peuvent être exécutées automatiquement lorsque le document est ouvert, cela fournit un moyen approprié par dont malveillants programme peut être étalé.
Lorsque vous accédez à un document avec un code de macro intégré, une copie de cette macro réside sur l'ordinateur et ensuite tout document sur le même ordinateur qui utilise la même application peut être infecté. Si une copie d'un fichier infecté est passée à quiconque par e-mail ou tout support amovible le programme malveillant peut se propager à l' destinataire ordinateur. Ce processus d'infection ne prendra fin que lorsque le programme malveillant est détecté et désactivés ou supprimés. Mais la difficulté principale est que de nombreuses applications modernes permettent des macros, également des codes macro peut être écrit avec des connaissances spécialisées très peu. Vous pouvez créer votre propre certificat de confiance (Certificat est un identifiant unique comme les empreintes digitales) afin de permettre l'autorité numériques pour les macros de débogage et de ce certificat doit être attribué à de documents spécifiques, comme par exemple Microsoft Office prend en charge ce type de certificats et tout ce que vous devez faire est de courir à partir du Poste Selfcert.exe ou l'Explorateur Windows (vous pouvez le trouver dans les outils de Microsoft Office sous le nom de certificats numériques pour les projets VBA). Puis dans la zone Votre nom, tapez le nom que vous souhaitez associée à ce certificat, puis cliquez sur OK, Selfcert.exe va créer et installer un certificat auto-signé que vous pouvez utiliser pour signer des projets VBA sur l'ordinateur actuel. Plus de réglage est nécessaire pour rendre le système de confiance à votre certificat et cela peut être fait en utilisant certmgr.msc. Pour ouvrir ce programme à partir du menu Démarrer, choisissez exécuter et tapez certmgr.msc. Puis déplacez votre certificat de personnels dans le dossier de certification de confiance.
Ne pas oublier d'associer votre nouveau certificat avec vos documents existants, ce qui peut être obtenue en appuyant sur les touches Alt + F11 pour ouvrir l'éditeur Visual Basic pour le document, puis choisir parmi les outils de bar, à partir du menu Outils, sélectionnez la signature numérique, de la nouvelle fenêtre ouverte sélectionnez votre certificat noter qu'un certificat peut être attribué à de nombreux documents.
Prévention d'exécution de code malicieux
Une autre technique vous pouvez utiliser afin d'empêcher des programmes malveillants comme des été exécutée à partir de la mémoire est d'utiliser cette fonctionnalité de sécurité bien connus de la Data Execution Prevention (DEP). DEP peut être définie comme un ensemble de technologies matérielles et logicielles qui effectuent des contrôles supplémentaires sur la mémoire pour éviter le code malveillant de s'exécuter sur un système et il est disponible dans Microsoft Windows XP Service Pack 2 (SP2) et Microsoft Windows XP Édition Tablet PC 2005 et Windows Vista (également son inclus dans Windows Server 2003, 2008, mais cet article je vais couvrir seulement l'OS pour les ordinateurs personnels), ces technologies peuvent être activés à la fois pour le matériel et les logiciels. Cependant, vous devez être conscient de la compatibilité de votre processeur (certains processeurs ne supporte pas la DEP) en cas de matériels DEP appliqué ou la compatibilité de vos applications et services en cas de DEP logiciels appliqués.
Hardware-DEP appliqué
Appliqué au matériel DEP drapeaux tous les emplacements mémoire dans un processus comme non exécutables, sauf si l'emplacement contient trustily code exécutable. Quand un programme malveillant tente d'insérer et d'exécuter du code à partir de la mémoire non-exécutable Puis endroits DEP agira pour empêcher ces attaques en les interceptant immédiatement.
Fonctionnalité DEP logicielle
Avec logiciel de l'exécution des données appliquée contrôles de prévention sécurité, sera activé pour pouvoir bloquer les codes malveillants qui tire parti de la gestion des exceptions mécanismes sous Windows. Fonctionnalité DEP logicielle fonctionne sur n'importe quel processeur peut fonctionner sous Windows XP SP2. Par défaut, fonctionnalité DEP logicielle permet de protéger seulement les binaires système limité, indépendamment du matériel renforcé les capacités du DEP du processeur.