Rivendosja e skedarëve pas fshirjes së tyre Nod32. Si të rikuperoni skedarët e fshirë nga antivirusi Eset NOD32 Si të rikuperoni një skedar të izoluar

“Si të rikuperoni skedarët e mi të fshirë nga antivirusi Eset NOD32” është një kërkesë që mund të shihet shpesh në internet. Sidoqoftë, nuk ka aq shumë zgjidhje të mundshme për këtë çështje, gjë që shpesh krijon një ndjenjë se nuk ka mënyra për të kthyer dokumentet e humbura.

Para së gjithash, duhet të kuptoni se antivirusi nuk do të bllokojë ose fshijë kurrë një skedar që në një mënyrë ose në një tjetër nuk ndikon në funksionimin sistemi operativ ose programe të tjera të instaluara.

Prandaj, nëse dokumenti juaj është fshirë, mund të dyshoni me siguri për keqdashjen e tij. Sidoqoftë, ka edhe skedarë që thjesht modifikojnë programin, duke ndërhyrë në proceset e tij, por nuk paraqesin kërcënim në vetvete.

A ka ndonjë mënyrë për të rikuperuar një skedar të fshirë nga një antivirus? Patjetër që ka! Në këtë artikull, ne do të shikojmë se çfarë është aplikacioni Eset NOD32, tiparet e punës me të dhe një mënyrë efektive për të rikuperuar skedarët e fshirë nga antivirus.

Çfarë është Eset NOD32?

Për asnjë në bota moderne Nuk është sekret se sa të rëndësishme, dhe më e rëndësishmja, sa të rëndësishme janë aplikacionet anti-virus. Ato lejojnë jo vetëm të eliminojnë shumicën dërrmuese të skedarëve me qëllim të keq, por gjithashtu ndihmojnë në parandalimin e një kërcënimi të mundshëm edhe para se të shfaqet, duke dëmtuar sistemin në një mënyrë ose në një tjetër.

Antivirus Eset NOD32, i cili zakonisht quhet thjesht si NOD32, është një paketë e tërë antivirusesh software, krijuar nga sllovaku nga Eset në vitin 1987.

Ekzistojnë dy edicione të programit:

versioni në shtëpi.
Versioni i biznesit.

Dallimi kryesor midis versionit të biznesit dhe atij shtëpiak është aftësia për të telekomandë dhe prania e mbrojtjes ndër-platformë. Jo më pak e këndshme është veçoria që ju lejon të personalizoni me lehtësi dhe fleksibilitet programin për çdo nevojë.

Eset NOD32. Si të aktivizoni ose çaktivizoni antivirusin?

Ndodh shpesh që kur instalojmë një program të caktuar, na kërkohet të çaktivizojmë antivirusin, sepse në të kundërt ai do të "hajë" një skedar të rëndësishëm pa të cilin aplikacioni thjesht nuk mund të fillojë.

Një arsye tjetër e zakonshme për të kërkuar përgjigje për pyetjen e aktivizimit / çaktivizimit të antivirusit është qëllimi i zvogëlimit të konsumit të burimeve të "mbrojtësit". Këtu ndikon veçoria e punës së antivirusëve - ata zakonisht marrin një sasi mjaft të madhe memorie edhe kur janë në gjendje pasive, dhe ndonjëherë ju duhet të ndaloni mbrojtjen kur filloni programe të tjera "të rënda".

Pra, si e përfundoni detyrën e aktivizimit ose çaktivizimit të NOD32? Le ta shohim këtë çështje në udhëzimet e mëposhtme.

1. Nisni aplikacionin Eset NOD32 dhe shkoni në Cilësimet.

2. Në dritaren që hapet, do të gjeni të gjitha paketat e instaluara të shërbimit NOD32. Vizitoni secilën prej tyre dhe aktivizoni/çaktivizoni opsionet në varësi të nevojave tuaja.

Eset NOD32. Karantina dhe përjashtimet antivirus.

Karantinë- një depo që është domosdoshmërisht e pranishme në çdo antivirus, pavarësisht nga prodhuesi dhe versioni i tij (shtëpi ose biznes). Ai ruan të gjithë skedarët e dyshimtë që, sipas antivirusit, në një mënyrë ose në një tjetër mund të dëmtojnë sistemin tuaj operativ.

Vlen të përmendet fakti se asnjë dokument, edhe nëse është një trojan, nuk fshihet menjëherë. Para së gjithash, kërcënimi që buron prej tij neutralizohet: skedari është në karantinë dhe antivirusi pret me durim vendimin përgjegjës të përdoruesit për veprime të mëtejshme- mund ta fshini dokumentin e infektuar ose ta shënoni si përjashtim, të cilin do ta analizojmë pak më vonë.

Si të gjeni karantinë antivirus Eset NOD32? Shume e thjeshte! Le të hedhim një vështrim në udhëzimet e mëposhtme.

1. Vraponi Eset NOD32 dhe shkoni te seksioni Shërbimi.

2. Hapni një skedë Fonde shtesë. Ndodhet në këndin e poshtëm të djathtë.

3. Ne kemi një listë të plotë shërbime shtesë ofruar nga Eset si pjesë e antivirusit të saj. hapur Karantinë.

4. Në menynë që hapet, NOD32 ju jep të drejta të plota për të menaxhuar të gjithë skedarët e izoluar.

Kemi gjetur karantinë dhe e gjeti atë funksionet kryesore:

Izoloni skedarin. Ky opsion ju lejon të gjeni manualisht një skedar me qëllim të keq dhe ta bllokoni atë nëse antivirusi nuk mund ta përballojë vetë.
Rivendos. Një opsion që ju lejon të rivendosni një skedar të bllokuar aksidentalisht.

Thjesht rivendosja e një dokumenti të izoluar nuk shmang gjithmonë bllokimet e mëtejshme. A mund të ndryshohet kjo? Le të shqyrtojmë.

1. pa lënë dritaren Karantinë, klikoni me të djathtën mbi skedarin që dëshironi të zhbllokoni.

2. Zgjidhni një opsion Rivendos dhe përjashto nga skanimi.

3. Nëse jeni të sigurt në veprimet tuaja, klikoni po. Nëse nuk e dini nëse skedari është i rrezikshëm apo i padëmshëm, ju rekomandojmë të klikoni Jo.

Skedarët e fshirë Eset NOD32. Si të shërohemi?

Antivirusështë e vetmja pengesë që mban prapa një numër tepër të madh kërcënimesh të mundshme që mund të depërtojnë kompjuterët tanë nëpërmjet internetit. Është mjaft e natyrshme që bllokon absolutisht të gjithë skedarët me një mekanizëm të ngjashëm funksionimi; dokumente të tilla që në një mënyrë ose në një tjetër ndërhyjnë në proceset e sistemit ose softuerit.

Fatkeqësisht, antiviruset nuk janë në gjendje të dallojnë skedarët, sepse çdo skedar me qëllim të keq mund të maskohet lehtësisht si një proces Windows dhe gradualisht të shkatërrojë kompjuterin nga brenda.

Rrjedhimisht, programi përpiqet në çdo mënyrë të mundshme të mbrojë PC-në, duke bllokuar gjithçka që, sipas tij, paraqet një kërcënim të caktuar. Në shumicën e rasteve, dokumentet e kyçura mund të rikthehen lehtësisht thjesht duke bërë një përjashtim, por herë pas here ato heqje e plotë nëse antivirusi e konsideron skedarin jashtëzakonisht të rrezikshëm.

Rikuperimi i ndarjes Starus do të jetë një ndihmës i mirë në punën e përditshme me sistemin e skedarëve. Aplikacioni do t'ju çlirojë nga çdo shqetësim për dokumentet personale në planin afatgjatë dhe do t'ju ndihmojë të rikuperoni një skedar të çdo formati, pavarësisht se si e keni humbur atë.

Ju mund të vlerësoni të gjitha shanset për të "rikthyer të humburën" përpara se të regjistroni mjetin Starus Partition Recovery. Shkarkoni programin për rikuperimin e dokumenteve personale të fshira nga antivirus dhe provojeni falas. Të gjitha veçoritë janë të disponueshme në versionin e provës, duke përfshirë pamjen paraprake të skedarëve të rikuperuar. Dritarja e shikimit paraprak do t'ju japë mundësinë të siguroheni që një skedar i caktuar të mos dëmtohet ose të mbishkruhet dhe të jetë plotësisht i rikuperueshëm.

Shpresojmë që artikulli të ishte i dobishëm për ju dhe të ndihmonte në zgjidhjen e pyetjeve të parashtruara.

Kështu që unë po përpiqem të bllokoj një skedar të izoluar ruajtjeje në aplikacionin tim të klientit C# në mënyrë që disa raste të aplikacionit tim të mos mund ta qasen atë në të njëjtën kohë. Unë jam duke përdorur sintaksën e mëposhtme:

LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);

Ky kod bën që aplikacioni im të hedhë një NullReferenceException brenda metodës FileStream.Lock të kornizës. Provova të përdor një vlerë jozero për gjatësinë. Unë u përpoqa të shkruaj një bajt në një skedar dhe pastaj e bllokova vetëm atë bajt. Pavarësisht se çfarë bëj, i njëjti NullReferenceException po më ndjek. A e di dikush nëse kjo është e mundur me ruajtje të izoluar?

Gjithashtu unë jam duke kërkuar në këtë teknikë në një aplikacion Silverlight, a e mbështet Silverlight mbylljen e skedarëve? Dokumentet MSDN duket se tregojnë se nuk është, por pashë këtë postim nga C# MVP që thotë se është.

Përditësimi: Microsoft ka rregulluar një gabim që kam paraqitur në Connect, por ai nuk është lëshuar në versionin 4 të kornizës. Ai duhet të jetë i disponueshëm me shpresë në PS-në e ardhshme ose versionin e plotë.

Unë kam qenë në gjendje të zgjidh këtë gabim duke përdorur reflektimin për të thirrur metodën e bllokimit në fushën IsolatedStorageFileStream të "m_fs" private si kjo: lockStream = new IsolatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = lloji (IsolatedStorageFileStream) .InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) si FileStream; m_fs.Lock(0, long.MaxValue); - bsigel 05 mars 10 2010-03-05 15:57:55

2 pergjigje

Renditja:

Aktiviteti

Kjo duket si një gabim në Kornizën. Ndoshta e kam gabim, sepse është vërtet shumë e madhe për të qenë e vërtetë.

Duke parë kodin burimor .NET 3.5 SP1 me një reflektor, zbuloni se IsolStorageFileStream thërret konstruktorin e bazës pa dimension (FileStream()), duke rezultuar në një klasë bazë të pa inicializuar. IsolatedStorageFileStream instancon një FileStream dhe e përdor atë në të gjitha metodat që ai anashkalon (Write, Read, Flush, Seek, etj.). Është e çuditshme që nuk përdor drejtpërdrejt klasën e saj bazë.

Por lock and unlock nuk janë anashkaluar dhe ata kanë nevojë për një fushë private (_handle) e cila është ende e pavlefshme (sepse konstruktori i përdorur është pa parametra). Ata supozojnë se nuk është null dhe e luajnë atë dhe thërrasin NRE.

Për ta përmbledhur, kyçja dhe shkyçja nuk mbështeten (ose nuk funksionojnë).

Si të izoloni proceset e dyshimta në Windows dhe të mos prishni vetë OS? Si të krijoni një të besueshme dhe të pajtueshme me Softueri Windows një sandbox pa virtualizim harduerësh dhe përgjime të funksioneve të kernelit, por duke përdorur mekanizmat e dokumentuar të sigurisë së integruar të OS? Ne do të flasim për problemet më të zakonshme me të cilat përballen zhvilluesit (dhe në fund të fundit konsumatorët) e sandboxeve të softuerit. Dhe sigurisht, ne do të ofrojmë zgjidhjen tonë :).

Hyrje, ose sa keq është të jetosh pa një sandbox

Midis profesionistëve ka disa aksioma për të cilat nuk u pëlqen të flasin. Po aksiomat? Ata janë dhe janë. Duket për të gjithë se është e qartë, si dy dhe dy. Për shembull, një prej tyre - antiviruset me bazë nënshkrimi nuk mbrojnë. Epo, domethënë, ata nuk mbrojnë, dhe kaq. Shumë e shumë herë janë thënë dhe ritreguar për këtë shumë. Me shembuj, prezantime të bukura, kërcime dhe kërcime. Dhe epidemitë e të gjitha llojeve të gjërave të këqija si Ransomware janë një nga provat e joefikasitetit të teknologjive të nënshkrimit dhe heuristikës. Të gjitha llojet e kriptorëve dhe penguesve zgjidhin me sukses problemin e mbrojtjes së malware tashmë të njohur nga zbulimi, dhe për ca kohë ky malware nuk është zbuluar nga antiviruset. Kjo kohë mjafton që dikush të ndihet keq, e dikush mirë.

Kjo do të thotë, nuk bëhet fjalë as për 0day: mund të merrni malware-in e vjetër të njohur me mjekër, ta modifikoni atë, të hiqni nënshkrimet e sjelljes (punoni për disa ditë për një person dembel) dhe ta përdorni përsëri, dhe pastaj përsëri dhe përsëri, derisa të mërzitesh ose derisa të të futin në burg. Në të njëjtën kohë, njerëzit që shitën kurën që kjo gjëja më e “keq” të mos vinte kurrë, duket se nuk kanë asnjë lidhje me të; ata publikojnë një lloj buletini me fytyra serioze dhe flasin për higjienën në internet, duke harruar të thonë se nëse kjo higjienë respektohet plotësisht, atëherë antiviruset, veçanërisht ato me pagesë, praktikisht nuk janë të nevojshëm.

Sandboxes dhe veçoritë e zbatimit të tyre

Pra, antiviruset nuk kursejnë, dhe nganjëherë thyejnë atë që është tashmë atje. "Le t'i qasemi mbrojtjes nga ana tjetër dhe t'i izolojmë proceset nga njëri-tjetri," tha dikush pafundësisht i zgjuar. Në të vërtetë, është mirë kur proceset e dyshimta zhvillohen në një lloj mjedisi të izoluar të quajtur sandbox. Malware që funksionojnë në sandbox nuk mund të lënë kufijtë e tij dhe të dëmtojnë të gjithë sistemin. Kjo mund të jetë një zgjidhje, megjithatë ka nuanca në implementimet ekzistuese të sandbox...
Tjetra, ne thjesht do të diskutojmë të gjitha ndërlikimet e ndërtimit të kutive të rërës, njohuria e të cilave patjetër do të jetë e dobishme kur ju duhet të zgjidhni një mjet izolimi të procesit ose HIPS (Sistemi i Parandalimit të Ndërhyrjeve të bazuara në host - sistemi i parandalimit të ndërhyrjeve për stacionet e punës).

Nuanca numër 1, ose një kuti rëre për të gjithë

Shumica e kutive të rërës në fakt nuk ofrojnë izolim të procesit. Në të vërtetë, në shumicën e implementimeve, sistemi i mbrojtur ndahet në dy pjesë - i besueshëm dhe i pabesueshëm. Proceset normale ekzekutohen në pjesën e besuar, proceset e izoluara ekzekutohen në pjesën e pabesueshme. Kjo do të thotë, të gjitha proceset e izoluara ekzekutohen në të njëjtin sandbox, kanë qasje në njëri-tjetrin dhe në burimet e njëri-tjetrit, përdorin të njëjtin regjistër dhe të njëjtin sistemi i skedarëve.

Kështu, malware mund të fitojë një terren në vetë sandbox dhe të fillojë në mënyrë episodike me një nga aplikacionet e izoluara (ose me disa aplikacione të izoluara, ose me ndonjë prej tyre). Në të njëjtën kohë, sandboxet shpesh nuk regjistrojnë veprimet e proceseve të izoluara. Veprimet që HIPS shajnë në kutitë e rërës janë mjaft të kalueshme pa reagimin më të vogël, të rregulluara për izolim, gjë që nuk është shumë e mirë.

Si të kontrolloni nëse izolimi është rregulluar në këtë mënyrë? Shume e thjeshte! Ekzekutoni dy aplikacione në një sandbox. Për shembull notepad.exe dhe wordpad.exe. Krijo me notepad.exe skedar teksti 1.txt.

Sigurisht dosjen e dhënë nuk do të ruhet në desktop, por në një direktori "virtuale". Provoni ta hapni me Wordpad (Fig. 3).

Pra, një skedar i krijuar nga një aplikacion me sandbox mund të hapet duke përdorur një aplikacion tjetër me sandbox. Le ta pranojmë, izolimi nuk është shumë i mirë. Por ndoshta të paktën do të ketë një lloj mbrojtjeje nga rekordi? Ndryshojmë përmbajtjen (Fig. 4).

Dhe ne kursejmë. Dhe tani le të përpiqemi të hapim skedarin 1.txt duke përdorur notepad.exe. Sigurisht, le të ekzekutojmë notepad.exe në sandbox (Fig. 5).

Dhe ja për çfarë folëm. Dy aplikacione të izoluara nuk janë të izoluara nga njëri-tjetri. Rezulton se një izolim i tillë nuk është bërë plotësisht i qartë pse. Edhe një ransomware, pa qasje në dosjet lokale në kompjuter, mund të enkriptojë gjithçka në drejtorinë e virtualizuar, dhe nëse jeni me fat, atëherë burimet e rrjetit, meqenëse cilësimet e sandbox janë të njëjta për të gjitha aplikacionet me sandbox.

Nuanca numër 2, ose nën-izolim

Po, proceset me sandbox nuk mund të arrijnë pjesën e besuar të sistemit... por në shumicën e implementimeve është vetëm për shkrim. Kjo do të thotë, ata mund të lexojnë nga kudo, praktikisht pa kufizime dhe shpesh kanë akses në rrjet. Kjo është bërë, me sa duket, për një pajtueshmëri më të madhe, por kjo nuk mund të quhet izolim.
Provoni një eksperiment të thjeshtë në sandbox sipas zgjedhjes suaj. Krijoni një direktori në hard diskun tuaj. Le të themi këtë: E:\Fotot . Vendosni në të, për shembull, një fotografi (Fig. 6).

Vraponi Internet Explorer në sandbox dhe përpiquni ta dërgoni imazhin e dhënë, të themi, rghost.

Pra, si është ajo? Ka ndodhur? Nëse përvoja është e suksesshme, atëherë nuk është shumë e mirë. Edhe më keq, nëse sandbox nuk ka aftësinë për të specifikuar drejtoritë në të cilat aplikacionet e sandbox nuk do të kenë akses. Dhe nuk është aspak mirë nëse aplikacionet e izoluara mund të lexojnë të dhëna nga drejtoritë e përdoruesit aktual.

Virtualizimi i sistemit të skedarëve dhe regjistrit në shumicën e zbatimeve është ndërtuar mbi parimin e "kopjimit sipas kërkesës". Kjo do të thotë, nëse skedari duhet thjesht të lexohet, atëherë ai lexohet nga drejtoria burimore nëse nuk ka analog në drejtorinë virtuale. Nëse i njëjti skedar është i pranishëm në drejtorinë virtuale, atëherë aplikacioni i izoluar do të punojë me të. E njëjta gjë mund të thuhet për regjistrin virtual. Epo, është e qartë se kur përpiqeni të shkruani një skedar përgjatë një rruge reale, ai do të shkruhet në sistemin e skedarëve virtualë. Pothuajse gjithmonë.

Kështu, nëse malware është "i izoluar" në një sandbox të tillë, atëherë ai do të jetë në gjendje të ketë akses të plotë për të gjitha proceset e tjera "të izoluara", pothuajse për të gjitha të dhënat në sistem për lexim, dhe për të dhënat e virtualizuara (të ruajtura nga aplikacionet e sandbox) (që shpesh janë të zakonshme për të gjitha aplikacionet e sandbox) për shkrim.

Nuanca numër 3, ose "le të bëjmë një biçikletë tjetër, është kaq interesante"

Vazhdim i disponueshëm vetëm për anëtarët

Opsioni 1. Bashkohuni me komunitetin "site" për të lexuar të gjitha materialet në sajt

Anëtarësimi në komunitet gjatë periudhës së specifikuar do t'ju japë akses në TË GJITHA materialet e Hakerëve, do të rrisë zbritjen tuaj personale kumulative dhe do t'ju lejojë të grumbulloni një vlerësim profesional të pikëve Xakep!

Kështu që unë po përpiqem të bllokoj një skedar të izoluar të ruajtjes në aplikacionin tim të klientit në mënyrë që disa raste të aplikacionit tim të mos mund ta qasen atë në të njëjtën kohë. Unë jam duke përdorur sintaksën e mëposhtme:

LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);

Ky kod bën që aplikacioni im të hedhë një NullReferenceException nga metoda FileStream.Lock e strukturës. Provova të përdor një vlerë jozero për gjatësinë. Unë u përpoqa të shkruaj një bajt në një skedar dhe pastaj e bllokova vetëm atë bajt. Pavarësisht se çfarë bëj, i njëjti NullReferenceException po më ndjek. A e di dikush nëse kjo është e mundur me ruajtje të izoluar?

Gjithashtu unë jam duke kërkuar në këtë teknikë në një aplikacion Silverlight, a e mbështet Silverlight mbylljen e skedarëve? Dokumentet MSDN duket se tregojnë se nuk po, por pashë këtë postim nga MVP që thotë se po.

Përditësimi: Microsoft ka rregulluar një defekt që kam paraqitur në Connect, por ai nuk është lëshuar në versionin 4 të kornizës. Ai duhet të jetë i disponueshëm me shpresë në PS-në e ardhshme ose versionin e plotë.

2 pergjigje

Kjo duket si një gabim në Kornizën. Ndoshta e kam gabim, sepse është vërtet shumë e madhe për të qenë e vërtetë.

Duke parë kodin burimor .NET 3.5 SP1 me Reflector, mund të zbuloni se IsolStorageFileStream thërret konstruktorin e bazës pa dimension (FileStream()), i cili rezulton në një klasë bazë të inicializuar në mënyrë jo të vlefshme. IsolatedStorageFileStream instancon një FileStream dhe e përdor atë në të gjitha metodat që ai anashkalon (Write, Read, Flush, Seek, etj.). Është e çuditshme që nuk përdor drejtpërdrejt klasën e saj bazë.

Por kyçja dhe zhbllokimi nuk janë anashkaluar dhe kërkojnë një fushë private (_handle) e cila është ende nule (sepse konstruktori i përdorur është pa parametra). Ata supozojnë se nuk është null dhe e luajnë atë dhe thërrasin NRE.

Për ta përmbledhur, kyçja dhe shkyçja nuk mbështeten (ose nuk funksionojnë).

Unë mendoj se jeni të detyruar të përdorni metoda të tjera bllokimi si Mutex ose Semaphore.