Итак,небольшой гайд от меня!Сразу скажу он выражает во многом моё личное мнения и опыт.
Что такое вирус?Обычно вирусами пользователи называют всё на что антивирус "ругается".
На самом деле всё не совсем так!
HackTool если антивирус пишет это,это может быть активатор Windows или то что используют хакеры.
Условно говоря это может быть dll injector или похожий софт.
Trojan в основном используется для воровства паролей и другой личной информации.
Если вы встретите такой файл и запустите его то пароли будут украдены и передадутся злоумышленнику на email,веб-сайт или мессенджер.
Virus классический вирус-задача инфицировать файлы и делать их неработоспособными.
Рекомендации?Что делать если нашёлся вирус?
Итак,первое-вам нужен антивирус!Советую антивирус Касперский.
Второе-флэшка установочная с системой!
Третье-флэшка с LiveCD например с Kaspersky Rescue Disk.
Первое-проверяете компьютер ЦЕЛИКОМ(это займёт время)на вирусы,потом удаляете все обнаруженные вредоносные файлы.
Второе-более сложное,нужно удалить всё подозрительное из Автозагрузки.
Рекомендую Autoruns.
Третье-нужно проверить что нету удалённой связи с серверами злоумышленников.
Скачиваете Wireshark,выключаете ВСЕ игры торренты и вообще всё!И смотрите,есть ли пакеты непонятные от серверов.
Есть?Значит всё плохо!Смотрите автозагрузку и отключаете всё подозрительное.
Теперь ещё одна важная вещь-уязвимости!
Всегда нужно обновлять систему и все программы до последних версий!В системах часто находят уязвимости с помощью которых можно проникнуть в систему.
Классический пример:переполнение буфера.
В какой-то программе или системе некорректные машинные коды(я так называю язык ассемблера).
К примеру вот эти переходы:
Программа "разбивается"на группы простых команд вроде переместить mov,добавить add и так далее.
И при многих командах процессор переключает флаги ZF и так далее.
Так вот,исследуя программу злоумышленник может выяснить что при определённых входных параметрах можно переполнить буфер.
Что такое буфер?
Это специальная область.
Вкратце есть команды push положить в стэк и pop вытащить из стэка.
Например push eax-положить значение хранящиеся в eax(регистре)в стэк.
Что такое регистры?
Сверхбыстрые хранилища для данных,в процессе разбивки команды на простые команды-они ещё постоянно используют эти регистры.
Их описание можете посмотреть в гугле.
Итог:злоумышленник находит такое место которое перезаписывает буфер и может его использовать.
Переписывая буфер злоумышленник может прямо попасть в систему(просто говоря)и свободно писать в память.
Короче,всегда обновляйте систему и программы.
Что ещё?Если вы не уверенны,кидайте файл на virustotal и смотрите его поведение.
Загрузите файл и дождитесь полной загрузки.
Далее смотрите сюда
Как правило поведение файла сразу проявляется-если ворует пароли,или пытается соединиться с сервером будет подозрительная активность.
Даже с переводчиком можно разобраться что там написано.
Используйте разные песочницы(Sandboxie)но лучше всего поставить VMware или Virtualbox на неё виртуальную систему и запускать файлы там-это безопасно.
И последняя загадочная тема:закладки.
Вот вы скачиваете программу или игру с кряком,чтобы не платить,а что он делает?
Это можно выяснить только исследуя кряк в отладчике.
Возможно этот кряк сделает "дыру"в системе или ещё что похуже.
Загадочная тема потому-что никто это не исследует,это довольно сложно и всё что остаётся это верить что там ничего нету.
И использовать антивирус.
Выводы:
Нужны 2-3 флэшки.
1 с установочной системой.
2 с LiveCD антивируса.
Можно и лучше использовать,ищите WinPE Sergei Strelec там очень много всего.
Wireshark для детекта сетевой активности.