Ertmės virusas yra gana neįprastas viruso tipas, kuris kopijuoja į nenaudojamas failų vietas ir taip plinta nepaveikdamas užkrėsto failo dydžio. Kartais jie taip pat vadinami „erdvės užpildymo“ virusais. Daugelyje failų yra tuščių vietų, kurios paprastai ignoruojamos vykdant failą, kurio dalis jie yra. Šių erdvių buvimas nėra problema – žinoma, nebent jos yra užkrėstos virusu.
Kadangi failo dydis nepakeičiamas, neįmanoma sužinoti, ar failas buvo pakeistas tik patikrinus jo savybes – vietoj to, norėdami įsitikinti, turėsite palyginti jį su ankstesne neužkrėsta versija. Erdvės užpildai buvo naudojami nuo 1998 m. ir juos gana sunku pastebėti. „Windows 95/98“ dienomis buvo keletas labai sėkmingų virusų bangų.
Kaip tai veikia?
Norėdami užkrėsti failus, tarpo užpildas pirmiausia turi rasti failą, kuriame yra tuščios vietos. Taigi, reikia nuskaityti, ar nėra tuščių vietų. Kai kur nors faile randa laisvos vietos, ji pati nusikopijuos, užpildydama erdvę nepadidindama failo. Tai apsunkina antivirusinių programų aptikimą.
Kol virusas ras pakankamai didelių erdvių, į kurias galėtų save nukopijuoti, jis tai darys ir toliau – jei niekur neranda arba jau yra užkrėstas visomis įmanomomis parinktimis, jis gali neveikti, kol bus suaktyvintas, arba tiesiog tęsti nuskaitymą iki naujo failo. pasirodo tam tinkamas. Todėl fone bus sunaudota apdorojimo galia, o tai gali sulėtinti kitus dalykus.
Ši technika remiasi primityviomis antivirusinėmis technikomis, kurios beveik išimtinai ieško žinomų virusų parašų. Užkrėtus esamą failą, gautas užkrėstas parašas yra unikalus failo ir viruso deriniui.
Tikras pavyzdys
1998 m. virusas, vadinamas CIH, pademonstravo šią funkciją. Jis buvo pramintas Černobyliu, nes jo naudingoji apkrova buvo nustatyta, kad ji įsijungtų daugiau nei dešimt metų anksčiau įvykusios Černobylio katastrofos dieną. Virusas konkrečiai nukreipė į Portable Execution arba PE failų spragas. Jis padalijo savo kodą, kad gerai tilptų į šias spragas, ir įterpė lentelę failo viršuje, kad būtų galima stebėti kodo vietas, kad jis galėtų tinkamai veikti.
Tada CIH paleidimo datą perrašytų pirmąjį saugyklos megabaitą nuliais. Tai paprastai sunaikino skaidinių lentelę arba pagrindinį įkrovos įrašą. Praradus atrodo, kad visas diskas buvo nuvalytas. Tačiau duomenis buvo galima atkurti. Virusas taip pat bandys ištrinti BIOS lustą. Tai buvo sėkminga tik kai kuriuose įrenginiuose, o ne kituose. Įrenginiuose su nuvalyta BIOS mikroschema lustą reikėjo perprogramuoti arba pakeisti. Kita alternatyva buvo įsigyti naują kompiuterį.
Visi sakė, kad CIH virusas padarė 1 milijardo JAV dolerių žalą ir užkrėtė 60 milijonų kompiuterių visame pasaulyje. Virusą parašė Chén Yíngháo, Taivano Tatungo universiteto studentas. Chénas teigė, kad virusas buvo parašytas kaip iššūkis pernelyg drąsiems antivirusinių kūrėjų teiginiams dėl efektyvumo. Tada jį išleido klasės draugai, nors neaišku, ar tai buvo tyčia, ar netyčia. Chén atsiprašė universiteto ir paskelbė CIH antivirusinę programą. Jokie kaltinimai niekada nebuvo pareikšti, nes tuo metu Taivane trūko kompiuterinių nusikaltimų teisės aktų ir nė viena auka nepateikė ieškinio.
Prevencija
Apsisaugoti nuo ertmių ar tarpo užpildų virusų geriausia sumažinti poveikio riziką. Vienas geras žingsnis yra įsitikinti, kad visos atsisiunčiamos ar įdiegtos programos ir failai yra iš oficialaus, patikimo šaltinio. Antivirusinėms programoms istoriškai buvo sunku aptikti ertmių virusus. Tačiau šiuolaikinės antivirusinės technologijos yra daug pažangesnės. Vis dar svarbu nuolat atnaujinti savo antivirusinę programą ir atnaujinti naujausius virusų parašus, kad būtų lengviau aptikti ir pašalinti žinomus virusus.
Šio tipo viruso tikrai nebepasimato. Antivirusinės technologijos gerokai pažengė į priekį, todėl daug lengviau aptikti tokius dalykus. Be to, virusų kūrėjai taikė dar kūrybiškesnius metodus, kaip išvengti antivirusinės programinės įrangos.
Išvada
Ertmės virusas, taip pat žinomas kaip erdvės užpildymo virusas, yra kenkėjiškų programų tipas, kuris slepiasi kitų failų spragose. Dėl šios technikos labai sunku aptikti naudojant pagrindinius failo parašo patikrinimus. Taip pat vengiama koreguoti užkrėsto failo dydžio, todėl jį dar sunkiau aptikti. Labiausiai žinomas pavyzdys, CIH, panaudojo šią techniką puikiai. Jis padalino savo kodą į tiek spragų, kiek reikėjo, ir įterpė lentelę failo viršuje, kad būtų galima stebėti kodo vietą. Šiuolaikinės antivirusinės technologijos gali atpažinti tokio tipo virusus, todėl jis nėra plačiai naudojamas.
Perskaitykite šį straipsnį, kad sužinotumėte paprastą žingsnis po žingsnio procesą, kaip prijungti nešiojamąjį kompiuterį prie projekcinio ekrano ar TV naudojant Windows 11 ir Windows 10 operacines sistemas.
Ar sunku sužinoti, koks IP adresas naudojamas jūsų spausdintuvui? Mes parodysime, kaip tai padaryti.
Teisinga 3D spausdintuvų priežiūra yra labai svarbi, norint gauti geriausius rezultatus. Čia pateikiami keli svarbūs patarimai, kuriuos reikėtų atsiminti.
Sužinokite apie kai kurias galimas jūsų nešiojamojo kompiuterio perkaitimo priežastis, kartu su patarimais ir gudrybėmis, kaip išvengti šios problemos ir išlaikyti savo įrenginį šaltą.
Laikyti įrangą geros būklės yra būtina. Štai keletas naudingų patarimų, kaip išlaikyti savo 3D spausdintuvą puikios būklės.
Jei jūsų Powerbeats Pro neįsikrauna, naudokite kitą maitinimo šaltinį ir išvalykite ausines. Palikite dėklą atvirą, kol įkraunate ausines.
Ar ieškote NAS namuose ar biure, patikrinkite šį geriausių NAS saugojimo įrenginių sąrašą.
Kaip įgalinti nuskaitymą Canon Pixma MG5220, kai trūksta rašalo.
Ar ką tik įsigijote SSD ir norite atnaujinti vidinę savo kompiuterio atmintį, bet nežinote, kaip įdiegti SSD? Perskaitykite šį straipsnį dabar!
Jūs ruošiatės ilgam žaidimų vakarui, ir tai bus didelis vakaras – ką tik įsigijote "Star Wars Outlaws" GeForce Now transliacijų paslaugoje. Sužinokite vienintelį žinomą sprendimą, kaip ištaisyti GeForce Now klaidos kodą 0xC272008F, kad galėtumėte vėl pradėti žaisti Ubisoft žaidimus.
