Článok, ktorý práve čítate, je venovaný problémom obnovy dát v oddieloch súborového systému FAT, s ktorými sa stretávame na počítačoch s operačnými systémami MS-DOS a Microsoft Windows rôznych verzií. Informácie v ňom uvedené, týkajúce sa nastavení systému BIOS a niektorých diskových štruktúr, však budú užitočné aj pri obnove súborov v oddieloch systému súborov NTFS.
Pokusy o obnovenie údajov v oblasti FAT spravidla začínajú pomocou automatických nástrojov. V prípadoch, keď vám nástroje na automatickú obnovu nedokážu poskytnúť žiadnu pomoc, môžete skúsiť vykonať túto prácu manuálne pomocou editora disku. Pri tom však budete musieť použiť editory diskov a poradiť si s vnútornými štruktúrami súborového systému.
Pokročilým používateľom pomôžeme skontrolovať a opraviť súborový systém FAT pomocou Norton Disk Editor a Microsoft Disk Probe. Tieto programy umožňujú prezerať a upravovať obsah jednotlivých sektorov disku.
V kritických prípadoch dôrazne odporúčame nevykonávať nezávislé pokusy o obnovenie, ale požiadať o pomoc službu DataRecovery.Ru. Ak počas procesu obnovy urobíte vážnu chybu, vaše údaje môžu byť navždy stratené. Takže použite odporúčania uvedené v článku, ale na vlastné nebezpečenstvo a riziko!
Kontrola stavu systému súborov FAT
Aký je najlepší spôsob spustenia obnovy dát?
Obnova súborového systému by mala začať kontrolou nastavení systému BIOS, ako aj stavu samotného systému súborov. Je možné navrhnúť nasledujúci akčný plán:
- kontrola parametrov systému BIOS;
- kontrola obsahu hlavného zavádzacieho záznamu (MBR) a zavádzacieho záznamu;
- preskúmanie tabuľky prideľovania súborov FAT;
- kontrola stavu adresárov;
- extrahovanie potrebných súborov z poškodeného súborového systému.
Pri kontrole nastavení systému BIOS by ste mali venovať pozornosť takým kľúčovým parametrom, ako sú typy pevných diskov nainštalovaných v počítači, počet skladieb a sektorov na skladbu. Ak tieto parametre nie sú nastavené správne, operačný systém sa s najväčšou pravdepodobnosťou nepodarí zaviesť.
K zničeniu obsahu energeticky nezávislej pamäte, v ktorej sú uložené nastavenia systému BIOS, môže dôjsť napríklad pri zlyhaní batérie, ktorá napája pamäť, alebo v dôsledku vírusu.
Ďalej je potrebné skontrolovať obsah takzvaného hlavného zavádzacieho záznamu (MBR). Táto položka obsahuje bootstrap program a tabuľku oddielov. Bootstrap program je cieľom útoku bootovacích a file-bootových vírusov, ktoré sem zapisujú svoje telá. Ak dôjde k poškodeniu tabuľky rozdelenia disku v dôsledku vírusovej infekcie, zlyhania hardvéru alebo zlyhania softvéru, niektoré alebo všetky logické disky budú pre operačný systém nedostupné.
Ďalším krokom je kontrola zavádzacieho záznamu, ktorý sa nachádza na samom začiatku logického disku (nezamieňajte si ho s MBR). Zavádzací záznam obsahuje bootstrap program operačného systému umiestnený na logickom disku, ako aj blok parametrov BIOS s názvom BPB (BIOS Parameter Block). BPB obsahuje dôležité informácie o logickom disku, ako je napríklad veľkosť klastra. Ak je BPB poškodený vírusom alebo v dôsledku zlyhania hardvéru alebo softvéru, disk bude pre operačný systém nedostupný.
Po skontrolovaní zavádzacieho záznamu by ste sa mali pozrieť na tabuľku prideľovania súborov FAT. Táto tabuľka obsahuje dôležité informácie o umiestnení jednotlivých klastrov pre všetky súbory zapísané na daný logický disk. Celkovo existujú dve kópie tabuľky FAT. Na obnovenie súborov môžete použiť akúkoľvek kópiu FAT.
Ďalším krokom je kontrola koreňových adresárov logických jednotiek, ako aj podadresárov. V prípade potreby by ste mali obnoviť poškodené položky adresára, ktoré popisujú súbory, ktoré potrebujete.
Nižšie sa bližšie pozrieme na všetky tieto kroky. Počas cesty vám poskytneme potrebné informácie o najdôležitejších vnútorných štruktúrach súborového systému FAT.
Kontrola nastavení systému BIOS
Keď sa prvýkrát priblížite k počítaču, ktorý mohol byť infikovaný vírusom, musíte najskôr skontrolovať nastavenia systému BIOS uložené v pamäti CMOS. Na zobrazenie a zmenu nastavení systému BIOS sa používa špeciálny program s názvom BIOS Setup.
Spôsob spustenia programu BIOS Setup závisí od jeho výrobcu a verzie, zvyčajne sa však spustí, ak počas úvodného testu pamäte RAM stlačíte kláves Delete, F2 alebo kombináciu klávesov Alt + Ctrl + Esc. Presnejšie informácie o tom, ako spustiť tento program, možno ľahko získať z dokumentácie dodanej so základnou doskou počítača.
Vypnite napájanie počítača, ak bolo zapnuté, a po 20-30 sekundách ho znova zapnite. Tento postup zaručene zničí pamäťovo rezidentné vírusy, ktoré „prežijú“ po teplom reštarte pomocou kombinácie kláves Ctrl + Alt + Del.
Keď sa spustí test pamäte, stlačením jedného z vyššie uvedených klávesov spustite program BIOS Setup. Po chvíli sa na obrazovke zobrazí okno programu BIOS Setup. Jeho vzhľad závisí od výrobcu a verzie programu.
Najprv by ste mali skontrolovať predvolené nastavenia systému BIOS. Venujte zvláštnu pozornosť typom a parametrom nainštalovaných pevných diskov HD (Hard disk) a typom jednotiek FD (Floppy Drive).
Prepíšte parametre pevného disku, ako je typ, počet valcov, hlavy a sektory na stopu. Porovnajte tieto hodnoty s údajmi z pasu prevzatými z dokumentácie na pevnom disku a v prípade potreby opravte.
Typ disku a parametre
Ak má váš počítač disky SCSI, typ disku je irelevantný a nemusíte ho kontrolovať. Pokiaľ ide o disky IDE, typ takýchto diskov je číslo, zvyčajne v rozsahu hodnôt od 1 do 47.
Zároveň štandardné sady parametrov pre staré malé disky zodpovedajú typom od 1 do 46. Pri moderných IDE zariadeniach sa typ volí automaticky alebo je určený typ 47, čo umožňuje manuálne nastavenie počtu cylindrov, hláv a sektorov na stopu. V každom prípade nezabudnite skontrolovať parametre podľa dokumentácie dodanej s diskom.
Veľmi často sa pre disky IDE používa takzvané adresovanie logického bloku (LBA). Pri povolenom režime LBA je operačný systém vybavený „virtuálnym“ diskom, ktorý má v porovnaní so skutočným diskom menej stôp, ale viac hláv. Napríklad skutočný disk môže mať 4000 stôp a 4 hlavy a „virtuálny“ môže mať 1024 stôp a 256 hláv.
Prečo je to potrebné?
Operačný systém MS-DOS kvôli vnútorným obmedzeniam nedokáže pracovať so stopami, ktorých počet presahuje hodnotu 1023. Moderné diskové jednotky však disponujú značnými kapacitami (okolo 20 – 60 GB a aj viac), a tak disponujú množstvom stôp. Iné operačné systémy, ako napríklad IBM OS / 2, Microsoft Windows NT / 2000, Linux alebo Novell NetWare, nemajú obmedzenie počtu ciest na adresu na disku. Namiesto systému BIOS používajú na prístup k disku špeciálne ovládače disku.
Pokiaľ ide o MS-DOS, bez dodatočných opatrení maximálna veľkosť diskového oddielu nepresiahne 585 MB.
Logické adresovanie LBA radičom disku umožňuje operačnému systému MS-DOS spracovať veľmi veľké oddiely, takže sa s LBA môžete stretnúť pri skúmaní väčšiny moderných počítačov.
Typ FD
Všimnite si aj typ FD (disketová alebo disketová mechanika). Ak je FD označené A: označené ako Not Installed alebo Disabled, nebudete môcť zaviesť MS-DOS alebo iný operačný systém z diskety.
Pokročilé možnosti systému BIOS
V ponuke rozšírených nastavení systému BIOS si poznačte poradie spúšťania operačného systému. Ak je poradie zavádzania C :, A :, nemôžete zaviesť operačný systém z diskety. V prípade potreby zmeňte poradie zavádzania na A:, C: alebo A:, CD-ROM, C:.
Po dokončení všetkých prác s počítačom vráťte nastavenie na C :, A :, CD-ROM alebo C: Only (ak je takáto hodnota prítomná v tejto verzii systému BIOS). V tomto prípade bude počítač spoľahlivo chránený pred infekciou boot vírusom cez diskety.
Nastavenie predvolených nastavení systému BIOS
Nastavenie BIOS vám dáva možnosť nastaviť predvolené nastavenia systému BIOS.
Spôsob inštalácie však závisí od systému BIOS. Napríklad BIOS Setup od AMI vám umožňuje načítať dve sady nastavení BIOSu.
Prvý z nich sa načíta, keď je v hlavnom menu programu vybratý riadok AUTOMATICKÁ KONFIGURÁCIA S NASTAVENIAMI BIOSU. Táto sada parametrov je navrhnutá tak, aby základná doska fungovala v štandardnom režime.
Druhá sada parametrov zodpovedá riadku AUTO CONFIGURATION WITH POWER-ON DEFAULTS a používa sa hlavne vtedy, keď sa počítač nespustí s prvou sadou. V druhej sade sú nastavené konzervatívnejšie parametre (napríklad je vypnuté ukladanie do vyrovnávacej pamäte hlavnej RAM), čo niekedy umožňuje spustenie aj čiastočne chybného počítača.
Analýza hlavného zavádzacieho záznamu MBR a tabuľky oddielov
Keď FDISK prvýkrát vytvorí oddiely na pevnom disku, zapíše MBR na začiatok úplne prvého sektora pevného disku (sektor 1, stopa 0, hlava 0).
Master Boot Record je program, ktorý získava kontrolu počas spúšťania operačného systému. Ďalej zavádzací záznam pokračuje v procese načítania operačného systému.
Vizuálne rozlíšiť bežný hlavný zavádzací sektor od poškodeného alebo vírusom infikovaného sektora nie je vždy jednoduché. Na obr. 1 zobrazuje výpis obsahu sektora so záznamom MBR získaným pomocou programu Microsoft DiskProbe zo súpravy Windows NT Resource Kit. Podobný výpis je možné získať pomocou editora diskov DISKEDIT v súprave nástrojov Norton Utilities.
Ryža. 1. Sektorový výpis MBR
Niekedy vírus upraví iba niekoľko bajtov, do ktorých je zapísaná adresa spúšťacieho sektora operačného systému, pričom spúšťací program zostane nedotknutý. Takéto zmeny možno zistiť iba rozobratím a následnou analýzou obnoveného zdrojového kódu zavádzacieho programu. V niektorých prípadoch sú zmeny natoľko badateľné, že ich možno odhaliť „voľným okom“, len pri pohľade na výpis úplne prvého sektora disku. Samozrejme, najlepší spôsob, ako zistiť infekciu vírusom MBR, je skontrolovať ju pomocou antivírusového programu.
Ďalšou dôležitou súčasťou prvého sektora disku je tabuľka oddielov.
Má štyri prvky, ktoré popisujú až štyri oddiely na disku. Posledné dva bajty sektora obsahujú hodnotu 0xAA55. Toto je vlastnosť tabuľky oddielov - podpis tabuľky oddielov. Ďalej budeme s predponou 0x označovať hexadecimálne hodnoty a bez takejto predpony - desatinné hodnoty. Všimnite si tiež, že bajty podpisu sú v opačnom poradí - najmenej významný bajt je na najnižšej adrese. Toto je vlastnosť architektúry procesorov Intel.
Diskové oblasti obsahujú logické disky. Môžete napríklad vytvoriť jeden primárny oddiel pre jednotku C: a jeden sekundárny oddiel, v ktorom sú vytvorené logické jednotky D :, E : atď.
Microsoft Disk Probe vám umožňuje prezerať (a upravovať) obsah tabuľky oddielov vo formátovanej forme, ako je znázornené na obr. 2.
Ryža. 2. Zobrazenie obsahu tabuľky rozdelenia disku
Popis formátu tabuľky oddielov
Formát prvého sektora pevného disku možno znázorniť takto:
Ako vidíte z tejto tabuľky, bajty s posunom od 0 do 0x1BE sú obsadené hlavným zavádzacím záznamom, teda programom. Potom sú v tabuľke oddielov štyri položky, pričom každá položka zaberá 0x10 bajtov. Za tabuľkou sú dva bajty atribútu tabuľky oddielov.
Prvok tabuľky oblastí obsahuje informácie o umiestnení a veľkosti oblasti v sektoroch, ako aj o účele oblasti. Formát prvku tabuľky sekcií je uvedený nižšie:
Prvý bajt prvku tabuľky sekcií obsahuje znamienko aktívnej sekcie. Ak je oddiel aktívny, operačný systém sa z neho zavedie. Disk často obsahuje niekoľko aktívnych oddielov súčasne, ktoré patria rôznym operačným systémom.
Nasledujúce tri bajty definujú fyzickú adresu na disku počiatočného sektora oddielu (popisujúceho tento prvok oddielu).
Bajt s posunom 1 obsahuje číslo hlavy počiatočného sektora oddielu. V dvojbajtovom poli s posunom 2 je zakódované číslo sektora a číslo stopy úplne prvého sektora sekcie. V tomto prípade bity 0 ... 5 tohto poľa nastavujú číslo sektora a bity 6 ... 15 - číslo stopy.
Bajt na odsadení 4 obsahuje typ oddielu v závislosti od typu operačného systému a typu súborového systému.
Nižšie uvádzame niektoré z najbežnejších typov (tu FAT-12, FAT-16 a FAT-32 označujú rôzne modifikácie systému súborov FAT, viac o tom neskôr):
Bajt tabuľky rozdelenia na offset 5 a dvojbajtové slovo na offset 6 obsahujú číslo hlavy, číslo sektora a číslo stopy posledného oddielu.
Posledné dve polia položky tabuľky oddielov majú dĺžku 4 bajty a obsahujú relatívne číslo úplne prvého sektora v oddiele (to znamená relatívne číslo sektora začiatku oddielu) a počet dostupných sektorov. v oddiele. Práve tieto polia používa operačný systém Microsoft Windows NT na výpočet umiestnenia oddielu.
Zastavme sa podrobnejšie pri relatívnom počte prvého sektora v sekcii.
Hodnota relatívneho čísla 0 zodpovedá stope 0, hlave 0, sektoru 1. Zvýšením relatívneho čísla sektora sa najprv zvýši číslo sektora na stope, potom číslo hlavy a nakoniec číslo stopy. Keď poznáte číslo stopy, číslo sektora na stope a číslo hlavy, môžete vypočítať relatívne číslo sektora pomocou nasledujúceho vzorca:
RelSect = (Cyl * sekta * hlava) + (hlava * sekta) + (sekta - 1)
Tu je Cyl číslo stopy, Sect je číslo sektora na stope, Head je číslo hlavy.
Kapitoly na disku zvyčajne začínajú párnymi číslami skladieb, s výnimkou úplne prvej kapitoly. Tento oddiel môže začínať od sektora 2 stopy 0 (hlava 0), pretože úplne prvý sektor disku je obsadený hlavným zavádzacím záznamom.
Sledovanie zoznamu diskových oddielov
V operačnom systéme MS-DOS musí byť primárna partícia jedinečná a aktívna, používa sa ako jednotka C: a operačný systém sa načítava z nej. V rozšírenom oddiele vytvára FDISK logické jednotky D:, E: atď.
Ak má bajt kódu oddielu hodnotu 5, potom sa sektor obsahujúci tabuľku logického disku nachádza na začiatku zodpovedajúceho oddielu. Táto tabuľka je rozšírením tabuľky rozdelenia disku umiestnenej v úplne prvom sektore fyzického disku.
Tabuľka logických diskov má rovnaký formát ako tabuľka oblastí disku, ale obsahuje iba dve položky.
Jeden z nich ukazuje na prvý sektor logického disku, má hodnotu typu partície 1 alebo 4 (pre MS-DOS). Druhým prvkom môže byť hodnota typu oddielu 5 (pre MS-DOS) alebo 0. Ak je tento kód 5, prvok ukazuje na ďalšiu tabuľku logického disku. Ak je systémový kód 0, príslušný prvok sa nepoužije. Vyššie sme uviedli kódy pre primárne a rozšírené oddiely pre rôzne operačné systémy.
Takto sú tabuľky logického disku prepojené v zozname. Záznam tabuľky oddielov disku zodpovedajúci primárnemu oddielu ukazuje na začiatok tohto zoznamu.
Pre tabuľku logického disku existuje rozdiel v použití polí hraníc logického disku. Ak je oddiel primárny, tieto hranice sa vypočítajú vzhľadom na začiatok rozšíreného oddielu. Pre rozšírené partície sa používa absolútne adresovanie (vzhľadom na fyzický začiatok disku).
Pomocou tlačidla Ďalší oddiel (obr. 2) si môžete prezrieť celý zoznam tabuliek logických diskov.
Kontrola tabuľky partícií programom DISKEDIT
Microsoft Disk Probe spomínaný vyššie funguje iba v operačných systémoch Microsoft Windows NT a Microsoft Windows 2000. Ako pre MS-DOS a Microsoft Windows 95/98, aj tu odporúčame na analýzu systémových diskových štruktúr editor DISKEDIT z balíka Norton Utilities. Najlepšie je zapísať tento program na systémovú disketu. Iba pri zavádzaní z takejto diskety budete môcť preskúmať vírusom infikovaný alebo poškodený súborový systém, keď MS-DOS nie je načítaný z pevného disku.
Keď je spustený DISKEDIT, použite ponuku Objekt. Najprv vyberte z tejto ponuky riadok Drive. Ak má fyzický pevný disk zdravé oddiely s definovanými logickými diskami, na obrazovke sa zobrazí zoznam logických diskov.
Ak je súborový systém poškodený do takej miery, že nie je možné zaviesť operačný systém z disku a pri zavádzaní z diskety nie je viditeľný ani jeden logický disk, po výbere riadku Jednotka sa zobrazí zoznam fyzických diskov (obr. 3).
Ryža. 3. Výber fyzického disku v programe DISKEDIT
Ak chcete zobraziť úplne prvý sektor fyzického disku, ktorý obsahuje hlavný zavádzací záznam a tabuľku oblastí, vyberte fyzický disk Hard Disk 1 a kliknite na tlačidlo OK. Potom sa obsah požadovaného sektora objaví na obrazovke vo forme výpisu. Sektor má veľkosť 512 bajtov, takže jeho obsah sa nezmestí na jednu obrazovku. Môžete stlačiť kláves PgDn a zobraziť druhú časť sektora.
Na čo by ste si tu mali dať pozor?
Na začiatku sektora je hlavný zavádzací záznam. Ona, ako sme už povedali, je program. Ak máte dostatok skúseností, môžete ho rozobrať a preskúmať. V každom prípade treba skontrolovať dĺžku programu. Táto dĺžka by nemala byť príliš dlhá - po spustení programu by pred začiatkom tabuľky oddielov malo byť nula bajtov. Okrem toho by sa vo vnútri zavádzacieho programu mali nachádzať správy Neplatná tabuľka oddielov, Chyba pri načítavaní operačného systému a Chýbajúci operačný systém (pre ruské verzie operačných systémov budú tieto správy v ruštine).
Pokiaľ ide o druhú časť úplne prvého sektora pevného disku, mala by obsahovať tabuľku rozdelenia disku.
Posledné dva bajty musia obsahovať atribút tabuľky oddielov (podpis) - hexadecimálnu hodnotu 0xAA55.
Tabuľku oddielov disku môžete analyzovať pomocou vyššie uvedených informácií o jeho formáte. Pripomeňme, že tabuľka sa nachádza v prvom sektore disku s posunom 0x1BE. Na analýzu tejto tabuľky je však oveľa pohodlnejšie použiť formátové zobrazenie editora DISKEDIT.
Umiestnite kurzor (myšou alebo šípkami) na bajt s offsetom 0x1BE, ktorý zodpovedá začiatku tabuľky oblastí. Potom vyberte riadok ako tabuľku oddielov z ponuky Zobraziť. Na obrazovke sa zobrazí naformátovaná tabuľka rozdelenia disku (obr. 4).
Ryža. 4. Zobrazte tabuľku oblastí disku
Stĺpec Systém zobrazuje informácie o type oddielov. Je zostavený na základe analýzy poľa typu sekcie uloženého v príslušnom riadku tabuľky sekcie. Ak je oddiel aktívny, stĺpec Boot preň obsahuje riadok Áno, ak nie, riadok Nie.
Stĺpce Počiatočná poloha a Koncová poloha v poliach Side, Cylinder a Sector obsahujú dešifrované informácie o umiestnení úplne prvého a úplne posledného sektora sekcie.
Číslo relatívneho sektora, z ktorého sekcia začína, zistíte zo stĺpca Relatívne sektory a celkový počet sektorov - v stĺpci Počet sektorov.
Je zmysluplné porovnať získané informácie o hraniciach oddielov s parametrami pevného disku získanými pomocou programu BIOS Setup, pretože vírusy môžu skrývať svoje telá v sektoroch disku umiestnených na konci disku a nie sú pridelené žiadnemu oddielu. Treba však mať na pamäti, že moderné diskové radiče sú schopné vykonávať logické adresovanie blokov (režim LBA), čo skresľuje výsledný obraz.
Vysvetlime si to, čo bolo povedané, na príklade.
Jeden z našich počítačov má disk s 1057 stopami a 16 hlavami. Každá stopa obsahuje 63 sektorov po 512 bajtoch. V tomto prípade je celková veľkosť disku 520 MB. Tieto parametre nám dal program BIOS Setup.
FDISK zistí, že disk má dve oblasti, 300 MB a 219 MB, a disk sa používa na 100 percent. Zároveň program DISKEDIT pre tento disk ukazuje, že posledný sektor poslednej partície sa nachádza na stope číslo 526.
Na prvý pohľad tu niečo nesedí: program BIOS Setup nám hovorí, že na disku je 1057 stôp a 16 hláv a v tabuľke partícií pre posledný sektor poslednej partície vidíme úplne iné hodnoty: tento sektor je nachádza sa na koľaji 526 a číslo hlavy je 31!
Dôvodom tejto nezrovnalosti je, že náš IDE radič vykonáva logické adresovanie stôp a hláv, čím dáva programom „virtuálny“ disk, kde je v porovnaní so skutočným diskom menej stôp, ale viac hláv.
Ukladanie parametrov disku a tabuľky rozdelenia disku
Pred pokračovaním v skúmaní systému súborov dôrazne odporúčame zapísať si parametre disku definované pomocou programu BIOS Setup a obsah tabuľky oblastí disku. Stačí skopírovať získané hodnoty na kus papiera. Ak počas opravy omylom zničíte oblasť údajov systému BIOS alebo hlavný zavádzací sektor, môžete ľahko obnoviť dôležité údaje.
Obsah sektora MBR môžete tiež uložiť do súboru pomocou príslušných funkcií DISKEDIT alebo Microsoft Disk Probe. Podrobné pokyny nájdete v dokumentácii a systémoch pomoci týchto programov. Súbor musí byť zapísaný na disketu alebo iný disk.
Preskúmanie rozšíreného oddielu disku
Ak bol na disku vytvorený iba primárny oddiel, môžete pristúpiť k analýze logického disku C: a iných logických diskov. Ak existuje rozšírený oddiel, je potrebné skontrolovať sektor tabuľky logického disku - úplne prvý sektor v rozšírenom oddiele.
Ak chcete zobraziť tento sektor, spustite program DISKEDIT, použite ho na určenie umiestnenia rozšíreného oddielu (stopa, hlava a číslo sektora). Potom vyberte riadok Fyzický sektor z ponuky Objekt. Na obrazovke sa zobrazí dialógové okno Výber rozsahu fyzického sektora, pomocou ktorého môžete vybrať jeden alebo viac sektorov na zobrazenie.
Sektor tabuľky logického disku je na rozdiel od sektora MBR prakticky prázdny. Všetky bajty v ňom od začiatku až po offset 0x1BD vrátane musia obsahovať nulovú hodnotu. Ďalej, na odsadení 0x1BE, je tabuľka logického disku, ktorá pozostáva z dvoch prvkov. Na konci sektora je podpis, ktorý už poznáte – hodnota 0xAA55.
Štruktúra prvkov je úplne podobná štruktúre prvkov tabuľky sekcií, takže môžete použiť formátové zobrazenie. Ak to chcete urobiť, umiestnite kurzor na bajt s posunom 0x1BE a potom vyberte riadok ako Tabuľka oddielov z ponuky Zobraziť.
Uloženie obsahu tabuliek logického disku
Na ten istý list papiera, na ktorý ste si zapísali parametre disku a informácie z tabuľky rozdelenia disku, zapíšte informácie o všetkých logických diskoch získané z tabuliek logických diskov. Ak dôjde k náhodnému zničeniu obsahu tabuliek logických diskov, stratíte prístup k logickým diskom.
Skúmanie logických diskov FAT
Formát logických diskov umiestnených v oddieloch pevného disku je úplne identický s formátom diskiet, takže veľa z toho, čo tu bolo povedané, bude platiť aj pre diskety.
Na samom začiatku logického disku je sektor Boot Record (nezamieňajte si ho so sektorom MBR, ktorý je na fyzickom disku úplne prvý), ako aj prípadne rezervované sektory.
Za sektorom Boot Record sú dve kópie tabuľky prideľovania súborov FAT (File Allocation Table), o ktorej si povieme neskôr, a koreňový adresár. Údajová oblasť, ktorá zaberá zvyšok logického disku, obsahuje súbory a iné adresáre.
Kontrola zavádzacieho sektora
Adresu zavádzacieho sektora logického disku nie je ťažké nájsť v tabuľke logických diskov. Zavádzací sektor logického disku obsahuje bootstrap program pre operačný systém. Tento program je umiestnený do RAM pomocou zavádzača umiestneného v MBR.
Účelom programu umiestneného v zavádzacom sektore logického disku je načítať operačný systém na tento logický disk.
Keď sa teda po vykonaní testovacej procedúry zapne napájanie, BIOS načíta obsah MBR do RAM a prenesie naň riadenie. Master Boot Record prehľadá tabuľku oblastí disku a nájde aktívnu oblasť. Ak existuje niekoľko takýchto sekcií, používateľ je vyzvaný, aby si vybral sekciu na stiahnutie.
MBR potom načíta bootovací záznam logického disku umiestneného vo vybranom aktívnom oddiele a prenesie riadenie na spúšťací program operačného systému v tomto sektore. Tento program zase vykoná všetku prácu pri načítaní operačného systému do pamäte počítača.
Formát zavádzacieho sektora závisí od verzie operačného systému. V každom prípade však zavádzací záznam okrem bootstrap programu pre operačný systém obsahuje parametre, ktoré popisujú vlastnosti daného logického disku. Všetky tieto parametre sa nachádzajú na samom začiatku sektora, v jeho takzvanej formátovanej oblasti. Posledné dva bajty zavádzacieho sektora obsahujú známy podpis 0xAA55.
Pred preskúmaním zavádzacieho záznamu musíte použiť príkaz VER na určenie verzie operačného systému nainštalovaného v počítači. Pre verzie systému MS-DOS staršie ako 4.0 je formát spúšťacieho záznamu uvedený nižšie:
Na samom začiatku zavádzacieho sektora je príkaz JMP intra-segment jump. Je potrebné obísť naformátovanú sektorovú zónu a preniesť riadenie do zavádzacieho programu umiestneného na offsete 0x1E.
Názov výrobcu operačný systém nepoužíva a ide o 8-bajtový textový reťazec.
Pri posune 0xB sa nachádza blok parametrov BIOS (BPB). Tento blok obsahuje niektoré charakteristiky logického disku, ako je počet sektorov v jednom klastri, celkový počet sektorov atď. Formát BPB bude popísaný neskôr.
Polia zavádzacích sektorov s offsetmi 0x18 a 0x1A obsahujú počet sektorov na stopu a počet hláv. Pole s offsetom 0x1C obsahuje počet "skrytých" sektorov, ktoré nepatria žiadnemu logickému disku. Tieto sektory možno použiť na rozdelenie fyzického disku na oddiely a logické disky (môžu obsahovať tabuľku rozdelenia disku alebo tabuľky logických diskov).
| zaujatosť, byte |
Veľkosť, byte |
Popis |
| 0 | 3 | Príkaz JMP xxxx (prejdite na bootstrap program) |
| 3 | 8 | Názov výrobcu operačného systému a verzia |
| 0xB | 25 | Extended BPB - Extended BIOS Parameter Block |
| 0x24 | 1 | Číslo fyzického zariadenia (0 – disketová jednotka, 0x80 – pevný disk) |
| 0x25 | 1 | Rezervované |
| 0x26 | 1 | Hodnota 0x29 je znakom rozšíreného spúšťacieho záznamu BPB |
| 0x27 | 4 | Sériové číslo disku (Volume Serial Number), vytvorené počas formátovania disku |
| 0x2B | 11 | Menovka disku (Volume Label) |
| 0x36 | 8 | Textový reťazec "FAT12" alebo "FAT16" |
Prvé dve polia majú rovnaký účel ako v zavádzacom zázname starších verzií MS-DOS.
Pole s offsetom 26h obsahuje číslo 0x29, čo znamená, že sa používa rozšírený formát zavádzacieho záznamu a podľa toho aj rozšírený blok parametrov BIOS Extended BPB.
Sériové číslo disku sa generuje počas formátovania disku na základe dátumu a času formátovania. Preto majú všetky disky a diskety rôzne sériové čísla.
Označenie disku vzniká pri formátovaní a možno ho zmeniť napríklad príkazom LABEL operačného systému MS-DOS. Označenie disku je zároveň umiestnené v koreňovom adresári ako špeciálny deskriptor. O formáte adresárov a deskriptorov, ako aj formáte tabuľky prideľovania súborov FAT si povieme neskôr.
Teraz o bloku parametrov BIOS BPB a bloku parametrov BIOS Extended BPB.
Pre verzie MS-DOS staršie ako 4.0 má BPB nasledujúci formát:
Rozšírený blok parametrov BIOS pre súborové systémy FAT-12 a FAT-16 pozostáva z bežného BPB a dodatočného rozšírenia:
| zaujatosť, byte |
Veľkosť, byte |
Popis |
| 0 | 2 | |
| 2 | 1 | |
| 3 | 2 | |
| 5 | 1 | Počet tabuliek FAT |
| 6 | 2 | |
| 8 | 2 | Celkový počet sektorov na pamäťovom médiu (v oblasti MS-DOS) |
| 0Ah | 1 | Typ dátového nosiča |
| 0Bh | 2 | |
| 0Dh | 2 | |
| 0Fh | 2 | Počet magnetických hláv |
| 11h | 2 | |
| 13h | 2 | Počet skrytých sektorov pre oblasť väčšiu ako 32 MB |
| 15h | 4 |
V prípade diskiet a diskov môže mať typ pamäťového média nasledujúce hodnoty:
| Význam | množstvo strany |
množstvo sektorov |
priemer, palce |
kapacita, Kbyte |
| 0xF0 | 2 | 18 | 3,5 | 1440 |
| 0xF0 | 2 | 36 | 3,5 | 2880 |
| 0xF0 | 2 | 15 | 5,25 | 1200 |
| 0xF8 | - | - | - | Pevný disk akejkoľvek kapacity |
| 0xF9 | 2 | 9 | 3,5 | 720 |
| 0xF9 | 2 | 15 | 5,25 | 1200 |
| 0xFA | 1 | 8 | 5,25 | 320 |
| 0xFB | 2 | 8 | 3,5 | 640 |
| 0xFC | 1 | 9 | 5,25 | 180 |
| 0xFD | 2 | 9 | 5,25 | 360 |
| 0xFE | 1 | 8 | 5,25; 8 | 160 |
| 0xFF | 2 | 8 | 5,25; 8 | 320 |
Pokiaľ ide o súborový systém FAT-32, jeho formát spúšťacieho sektora je rovnaký ako práve opísaný, s výnimkou bloku BPB. Veľkosť tohto bloku je 0x25 bajtov a formát je uvedený nižšie:
| zaujatosť, byte |
Veľkosť, byte |
Popis |
| 0 | 2 | Počet bajtov v jednom sektore disku |
| 2 | 1 | Počet sektorov v jednom klastri |
| 3 | 2 | Počet vyhradených sektorov |
| 5 | 1 | Počet tabuliek FAT |
| 6 | 2 | Maximálny počet deskriptorov súborov v koreňovom adresári disku |
| 8 | 2 | Celkový počet sektorov na pamäťovom médiu (v sekcii) |
| 0xA | 1 | Typ dátového nosiča |
| 0xB | 2 | Počet sektorov obsadených jednou kópiou FAT |
| 0xD | 2 | Počet sektorov na stopu |
| 0xF | 2 | Počet magnetických hláv |
| 0x11 | 4 | Počet skrytých sektorov pre oblasť menšiu ako 32 MB |
| 0x15 | 4 | Celkový počet sektorov na logickom disku pre oblasť väčšiu ako 32 MB |
| 0x19 | 4 | Veľkosť tabuľky FAT v sektoroch |
| 0x1D | 2 | Rozšírené začiarkavacie políčka |
| 0x1F | 2 | Verzia súborového systému |
| 0x21 | 4 | Číslo prvého klastra koreňového adresára |
| 0x25 | 2 | Sektor obsahujúci rôzne informácie o súborovom systéme ako celku |
| 0x27 | 2 | Číslo sektora, v ktorom sa nachádza záloha zavádzacieho sektora |
| 0x29 | 12 | Rezervované |
Pre formátovanie bloku parametrov BPB (alebo rozšíreného bloku parametrov BPB v závislosti od verzie MS-DOS) je vhodné použiť program DISKEDIT. Zavádzací záznam však môžete nájsť dvoma spôsobmi.
Najprv môžete vybrať riadok Boot Record z ponuky Object (výberom požadovaného logického disku pomocou riadku Drive v tej istej ponuke). Okamžite sa ocitnete vo formátovanom režime zobrazenia bloku parametrov BIOS zvoleného disku (obr. 5).
Ryža. 5. Zobrazenie bloku parametrov systému BIOS
Po druhé, ak logické disky nie sú dostupné, ale podarilo sa vám prečítať tabuľku oddielov alebo tabuľku logického disku, môžete prejsť na zobrazenie zavádzacieho záznamu zadaním jeho fyzickej adresy. Ak to chcete urobiť, vyberte riadok Fyzická adresa z ponuky Objekt (ako je popísané vyššie). Na obrazovke sa zobrazí výpis prvej časti zavádzacieho sektora. Stlačením klávesu PgDn môžete prejsť na zobrazenie druhej časti zavádzacieho sektora.
Pomocou riadkov ako Boot Record a ako Hex v ponuke View môžete prepnúť na formátovaný a neformátovaný režim zobrazenia zavádzacieho sektora.
Program Microsoft Disk Probe má podobné možnosti formátovania na prezeranie spúšťacích záznamov FAT.
K vytvoreniu spúšťacieho záznamu a bloku parametrov systému BIOS dochádza pri formátovaní logického disku (napríklad pomocou príkazu FORMAT). Ak vymažete logický disk pomocou FDISK a potom na jeho mieste vytvoríte nový s rovnakou veľkosťou, BPB sa zničí. V takom prípade budete musieť znova naformátovať logickú jednotku.
Blok parametrov BIOS obsahuje kritické informácie, ak sa zničia, nebude možné normálne pristupovať k súborom a adresárom umiestneným na logickom disku. Neopatrné zaobchádzanie so zavádzacím sektorom pevného disku môže viesť k potrebe preformátovania príslušného logického disku s úplnou stratou údajov na ňom uložených.
Pred ďalšou analýzou súborového systému je užitočné vytlačiť obsah zavádzacích sektorov všetkých dostupných logických diskov vo formátovanej a neformátovanej forme, pretože blok parametrov BIOS obsahuje informácie potrebné na nájdenie a analýzu iné logické štruktúry súborového systému. Ak chcete tlačiť, vyberte riadok Print Object as z ponuky Tools a vyberte riadok Boot Record v dialógovom okne, ktoré sa zobrazí na obrazovke. Potom kliknite na tlačidlo OK.
Podobne môžete vytlačiť obsah iných logických štruktúr v súborovom systéme, napríklad obsah tabuľky rozdelenia disku.
Analýza vyhradeného sektora
Vyhradené sektory môžu byť umiestnené medzi zavádzacím sektorom a tabuľkou prideľovania súborov FAT, čo sú sektory služieb pre súborový systém alebo sa nepoužívajú.
Počet vyhradených sektorov na logickom disku nájdete v bloku parametrov BIOS (BPB alebo Extended BPB, v závislosti od verzie operačného systému). Požadovaná hodnota je v poli tohto bloku s offsetom 3. Pri formátovaní je počet rezervovaných sektorov uvedený v riadku Rezervované sektory na začiatku.
Ak je rezervovaný iba jeden sektor, potom sa prvá kópia FAT nachádza hneď za zavádzacím sektorom. V tomto prípade je rezervovaný boot sektor.
Keď je rezervovaných viacero sektorov, medzi zavádzacím sektorom a prvou kópiou FAT môže byť viac sektorov s nulovými hodnotami. Ak je počítač infikovaný vírusom, tieto sektory môžu obsahovať telo vírusu alebo kópiu pôvodného zavádzacieho záznamu nahradeného vírusom.
tabuľky prideľovania súborov FAT
Operačný systém organizuje jednotlivé sektory disku do takzvaných zhlukov. Keď sa vytvoria nové adresáre a neprázdne súbory, pridelí sa im jeden alebo viac klastrov. Ak sa veľkosť súboru zväčší, pridelia sa mu ďalšie klastre.
Veľkosť klastra v sektoroch (teda počet sektorov v jednom klastri) ľahko zistíte z poľa v bloku parametrov BIOS BPB s offsetom 2. Pri prezeraní obsahu zavádzacieho sektora vo formáte sa zobrazí veľkosť klastra v riadku Sektory na klaster.
Aby sa ušetrilo miesto na disku, súbory a adresáre sú prideľované do klastrov, ktoré nemusia nevyhnutne susediť. Samostatné klastre patriace do rovnakého súboru sa teda môžu nachádzať na rôznych miestach na logickom disku. Tieto úspory sú za cenu výkonu, pretože čítanie fragmentovaného súboru vyžaduje viac pohybov hlavy, čo je najpomalšia operácia disku.
Ďalším problémom s fragmentáciou súborov je potreba viesť zoznam klastrov pridelených každému súboru. Je zrejmé, že na čítanie súboru musí operačný systém postupne čítať všetky klastre pridelené tomuto súboru.
Kde sú uložené zoznamy klastrov?
Tieto zoznamy sú uložené v tabuľke prideľovania súborov (FAT), ktorú budeme čoskoro analyzovať.
Predstavte si tabuľku alokácie súborov ako pole obsahujúce informácie o relatívnom umiestnení zhlukov všetkých súborov. Veľkosť poľa je určená celkovým počtom klastrov na logickom disku. Prvky poľa obsahujú zoznamy klastrov pridelených súborom a prvky poľa zodpovedajúce voľným klastrom obsahujú nulové hodnoty.
Ak súbor zaberá niekoľko klastrov, potom sú tieto klastre prepojené v zozname. V tomto prípade prvky tabuľky FAT obsahujú čísla nasledujúcich klastrov používaných týmto súborom. Koniec zoznamu je v tabuľke označený špeciálnym významom. Číslo prvého klastra prideleného súboru je uložené v položke adresára popisujúcej súbor (v deskriptore súboru).
Keď teda operačný systém MS-DOS pozná názov súboru a adresár, v ktorom sa tento súbor nachádza, môže určiť číslo prvého klastra priradeného k súboru a potom pomocou sledovania zoznamu klastrov v tabuľke FAT určiť počet zostávajúcich klastrov obsadených týmto súborom.
Program FORMAT určený na formátovanie disku a niektoré špeciálne programy na podobný účel kontrolujú logický disk, či neobsahuje chybné oblasti. Klastre nachádzajúce sa v týchto chybných oblastiach sú v FAT označené ako zlé a operačný systém ich nepoužíva.
Napríklad na obr. 6 zobrazuje zjednodušené deskriptory pre koreňový adresár jednotky C:. Popisujú súbory MYFILE1.DOC a MYLETTER.DOC, ako aj položky tabuľky alokácie súborov FAT pridelené týmto súborom.
Ryža. 6. Príklad alokácie klastra pre súbory MYFILE1.DOC a MYLETTER.DOC
Súbor MYFILE1.DOC zaberá tri klastre očíslované 11, 17 a 18 a súbor MYLETTER.DOC zaberá dva klastre očíslované 12 a 13. Adresár obsahuje čísla prvých klastrov priradených týmto súborom (11 a 12). Posledné bunky zodpovedajúce posledným zhlukom, distribuované súbory, obsahujú špeciálnu hodnotu - znamenie konca reťazca klastrov. Pre 16-bitový formát FAT je to 0xFFFF a pre 12-bitový formát je to 0xFFF.
Formát tabuľky FAT
Pozrime sa bližšie na formát tabuľky FAT.
Tabuľka FAT môže byť 12-, 16- alebo 32-bitová so systémom súborov označeným ako FAT-12, FAT-16 a FAT-32 a tabuľka používa 12, 16 alebo 32 na uloženie informácií o jednom bit disku klastra, resp.
Prvý z týchto dvoch formátov (12-bitový) sa používa pre diskety a disky s malým počtom sektorov. Tabuľka prideľovania súborov na disketu FAT-12 sa úplne zmestí do jedného sektora.
Ak je disk príliš veľký, dvanásťbitové bity nebudú stačiť na reprezentáciu všetkých klastrov. V tomto prípade sa používa 16- alebo 32-bitový formát FAT. V tomto prípade môže operačný systém pracovať s diskom, ktorý je väčší ako 32 MB. Preto pevné disky vždy používajú 16- alebo 32-bitový formát tabuľky FAT.
Ako zistiť formát FAT?
Formát FAT možno určiť preskúmaním obsahu poľa kódu sekcie zodpovedajúceho prvku tabuľky oddielov. Toto pole sa nachádza v MBR. Ak obsahuje hodnotu 1, použije sa 12-bitový formát, ak 4, tak 16-bitový a ak 0xB alebo 0xC - 32-bitový.
Prvý prvok FAT má špeciálny formát.
Úplne prvý bajt FAT sa nazýva Media Descriptor. Má rovnaký význam ako bajtový deskriptor prostredia, boot sektor logického disku. Ďalších 5 bajtov pre 12-bitový formát alebo 7 bajtov pre 16-bitový formát je vždy 0xFF.
Zvyšok FAT tvoria 12-, 16- alebo 32-bitové bunky. Každá bunka zodpovedá jednému zhluku disku. Tieto bunky pre rôzne formáty tabuľky FAT môžu obsahovať nasledujúce hodnoty:
Zobrazenie tabuľky FAT
Na zobrazenie tabuľky prideľovania súborov FAT použijeme program DISKEDIT. V ponuke Objekt vyberte riadok Jednotka a vyberte jednotku, o ktorú máte záujem.
Potom z ponuky Object vyberte jeden z dvoch riadkov - 1. FAT alebo 2. FAT. Na obrazovke sa zobrazí obsah prvej alebo druhej kópie tabuľky FAT vo formátovanej forme (obr. 7).
Ryža. 7. Pozrite si prvú kópiu formátovanej tabuľky prideľovania FAT
Prvú alebo druhú kópiu FAT môžete nájsť aj tak, že poznáte fyzickú adresu spúšťacieho záznamu logického disku. Pripomeňme, že zavádzací záznam sa nachádza v úplne prvom sektore diskety. Umiestnenie zavádzacieho záznamu pre logické disky vytvorené na oddieloch pevného disku možno určiť z tabuľky oddielov (pre logickú jednotku C :) alebo tabuľky logických diskov (pre logické disky vytvorené v rozšírenej oblasti).
Ďalej, v rámci logického disku existuje jeho vlastné sekvenčné číslovanie sektorov. V tomto prípade je poradie číslovania zvolené tak, že s postupným zvyšovaním čísla sektora sa najprv zvyšuje číslo hlavy, potom číslo stopy.
Vysvetlíme si to na príklade.
Predpokladajme napríklad, že máme disketu s deviatimi sektormi na stopu. Sektor s logickým číslom rovným 1 sa nachádza na nulovej stope a na označenie sa používa nulová hlava. Toto je úplne prvý sektor na stope, má číslo 1. Ďalší sektor na stope 0 má logické číslo 2, posledný sektor na stope 0 má logické číslo 9. Sektor s logickým číslom 10 sa tiež nachádza na stope 0. Toto je tiež úplne prvý sektor na trati, no teraz sa k nemu používa hlava číslo 1. A tak ďalej, ako sa logické číslo sektora zvyšuje, mení sa číslo hlavy a stopy.
Podľa tohto číslovania je sektor s poradovým číslom 0 boot sektor. Ak chcete zobraziť obsah zavádzacieho sektora pomocou programu DISKEDIT, môžete vybrať riadok Sektor z ponuky Objekt a zadať číslo sektora rovné nule v dialógovom okne, ktoré sa zobrazí.
Všimnite si, že v tomto dialógovom okne pole s názvom Využitie sektorov zobrazuje rozdelenie sektorov. Pomocou tejto distribúcie môžete ľahko určiť poradové číslo sektora zavádzacieho záznamu, začiatok a hranice oboch kópií FAT. Okrem toho nie je ťažké určiť začiatok a hranice koreňového adresára a dátovej oblasti obsahujúcej súbory a ďalšie adresáre.
Pomocou ponuky Zobraziť môžete zobraziť obsah FAT ako výpis.
Vizuálne by alokačná tabuľka súborov mala obsahovať väčšinou monotónne sa meniace sekvencie čísel klastrov, nulové hodnoty zodpovedajúce voľným klastrom a hodnotu 0xFFFF (0xFFF pre FAT-12 alebo 0xFFFFFFFF pre FAT-32), čo je znak konca. klastrového reťazca.
Po prvej kópii FAT by mala nasledovať druhá kópia FAT.
Veľkosť tabuľky FAT môžete určiť tak, že poznáte obsah bloku parametrov BIOS BPB s posunom 0xB (počet sektorov obsadených jednou kópiou FAT).
V dôsledku zlyhania alebo napadnutia vírusom môže byť tabuľka FAT buď úplne zničená alebo zmenená (napríklad zašifrovaná alebo zapísaná s nulami). Ak je reťazec klastrov pre súbor, ktorý potrebujete, čiastočne alebo úplne zničený, obnovenie takéhoto súboru môže byť náročná úloha.
Niektoré vírusy využívajú skutočnosť, že koniec reťazca klastrov možno označiť ľubovoľnou hodnotou vo vyššie uvedených rozsahoch (napríklad 0xFFF8 až 0xFFFF pre 16-bitovú tabuľku FAT), zatiaľ čo operačný systém používa hodnoty 0FFFFh alebo 0FFFh.
Vírus si môže prideliť infikované súbory (aby sa zabránilo opätovnej infekcii), pričom posledný klaster pridelený týmto súborom označí akoukoľvek inou hodnotou, napríklad 0xFFF9. V takom prípade bude operačný systém naďalej normálne fungovať, ako keby sa nič nestalo.
Hoci je druhá kópia tabuľky FAT vytvorená ako záloha, na uľahčenie postupu obnovy v prípade zničenia prvej kópie by ste nemali zvlášť dúfať, že v prípade napadnutia vírusom môžete jednoducho skopírovať druhú kópiu FAT na miesto prvej. Druhá kópia FAT môže byť tiež zničená alebo zašifrovaná, a to iným spôsobom ako prvá.
Formát adresára
V prípade súborov FAT-12 a FAT-16 koreňový adresár bezprostredne nasleduje po druhej kópii tabuľky prideľovania súborov. Umiestnenie koreňového adresára pre FAT-32 je špecifikované v BPB (slovo s offsetom 0x21).
Veľkosť koreňového adresára v sektoroch sa dá určiť z bloku parametrov BIOS BPB. Pole s offsetom 6 obsahuje maximálny počet deskriptorov súborov v koreňovom adresári disku (toto pole zodpovedá riadku s položkami koreňového adresára pri formátovaní obsahu zavádzacieho sektora pomocou programu DISKEDIT).
Veľkosť jedného deskriptora je 32 bajtov, takže vynásobením maximálneho počtu deskriptorov týmto číslom získate veľkosť koreňového adresára v bajtoch. Pri znalosti veľkosti sektora (512 bajtov) je ľahké určiť počet sektorov obsadených koreňovým adresárom.
Teraz si povedzme o deskriptoroch súborov.
Každý adresár (vrátane koreňového) obsahuje 32-bajtové prvky - deskriptory popisujúce súbory a iné adresáre. Tu je formát deskriptora používaný v operačnom systéme MS-DOS:
Všimnite si pole pri posune 0x1A. Toto je číslo prvého klastra prideleného súboru alebo adresáru (ak deskriptor popisuje adresár nižšej úrovne). Pomocou tejto hodnoty môžete sledovať celý reťazec klastrov priradených danému súboru alebo adresáru v tabuľke prideľovania súborov FAT. Máme teda spôsob, ako nájsť začiatok reťazca klastrov pre akýkoľvek súbor – musíme len nájsť zodpovedajúci deskriptor.
V akomkoľvek inom adresári ako je koreňový adresár majú prvé dva deskriptory špeciálny účel. Prvý deskriptor obsahuje reťazec v poli názvu:
". "Tento deskriptor ukazuje na adresár, ktorý obsahuje. To znamená, že adresár má odkaz sám na seba. Druhý špeciálny deskriptor obsahuje reťazec v poli názvu:
".. "Tento deskriptor ukazuje na adresár vyššej úrovne.
Ak pole čísla prvého obsadeného klastra pre deskriptor s názvom ".." obsahuje nulovú hodnotu, znamená to, že tento adresár je obsiahnutý v koreňovom adresári.
Stromová štruktúra adresárov obsahuje odkazy, ktoré adresujú adresáre dopredu aj dozadu. Tieto prepojenia možno použiť na kontrolu integrity adresárovej štruktúry súborového systému.
Atribútový bajt je vo vlastníctve každého súboru. Bajtové bity atribútu sa kombinujú pomocou operácie logického OR. Majú nasledujúce významy:
| Trocha | Popis |
| 0 | Súbor je len na čítanie. Do tohto súboru nie je možné zapisovať ani ho nemožno vymazať. |
| 1 |
Skrytý súbor. Tento súbor sa nezobrazí v zozname súborov zobrazenom príkazom DIR |
| 2 |
Systémový súbor. Tento bit je zvyčajne nastavený pre súbory, ktoré sú súčasťou operačného systému. |
| 3 |
Tento deskriptor popisuje označenie disku. Pre tento deskriptor sa s poľom názvu súboru a poľom rozšírenia názvu súboru musí zaobchádzať ako s jedným 11-bajtovým poľom. Toto pole obsahuje označenie disku |
| 4 | Deskriptor popisuje súbor, ktorý je podadresárom tohto adresára |
| 5 |
Vlajka archívu. Ak je tento bit nastavený na 1, potom tento súbor nebol uvoľnený archivačnou pomôckou |
| 6-7 | Rezervované |
Súbory majú zvyčajne nasledujúce atribúty:
Po odstránení súboru sa prvý bajt jeho názvu nahradí bajtom 0xE5 (znak „x“). Potom sú všetky klastre priradené k vzdialenému súboru označené ako voľné v tabuľke FAT.
Ak ste súbor práve vymazali, stále ho môžete obnoviť, pretože všetky polia v deskriptore sú zachované okrem prvého bajtu názvu súboru. Ak ale na disk zapíšete nové súbory, môže sa stať, že sa zmení obsah zhlukov vymazaného súboru. V tomto prípade bude obnovenie súboru problematické.
Teraz o poliach času a dátumu.
Horných päť číslic časového poľa obsahuje hodnotu hodiny úpravy súboru, šesť číslic 5-10 ukladá hodnotu minút úpravy súboru a nakoniec spodných 5 číslic obsahuje hodnotu sekúnd delenú 2. V poradí aby sa čas aktualizácie súboru zmestil do šestnástich číslic, musel som znížiť presnosť času na dve sekundy. V drvivej väčšine prípadov takýto pokles presnosti nehrá žiadnu rolu.
Formát dátumu aktualizácie súboru sa podobá formátu času. Číslice 9-15 sú vyhradené na uloženie roku, 5-8 na uloženie mesiaca a 0-4 na uloženie dňa v týždni. Na získanie hodnoty roku aktualizácie súboru je potrebné pripočítať hodnotu 1980 k hodnote uloženej v horných siedmich bitoch.
Niektoré vírusy používajú polia času a dátumu na označenie infikovaných súborov. Takáto značka je potrebná, aby sa zabránilo opätovnej infekcii. Túto primitívnu metódu však používajú len tie najjednoduchšie vírusy.
Pole dĺžky v deskriptore obsahuje presnú dĺžku súboru v bajtoch. Pre adresáre je pole dĺžky nastavené na nulu.
Keď vírus infikuje súbor, jeho dĺžka sa zvyčajne zvýši. Tento nárast však účinne maskujú stealth vírusy, ktoré svoju prítomnosť v systéme skrývajú. Preto si ho možno všimnúť len vtedy, keď sa operačný systém zavedie z „prázdnej“ diskety, ktorá je bez vírusovej infekcie.
Prehľadávanie adresárov
Na prezeranie adresárov pre kontrolu ich štruktúry použijeme program DISKEDIT. Spustite tento program av ponuke Objekt vyberte riadok Adresár. Na obrazovke sa zobrazí dialógové okno Zmeniť adresár.
Na ľavej strane dialógového okna sa zobrazí strom adresárov aktuálneho disku. Vyberte koreňový adresár C: \ a kliknite na tlačidlo OK. Potom sa obsah koreňového adresára objaví na obrazovke vo formátovanej podobe (obr. 8).
Ryža. 8. Pozrite si prvú naformátovanú kópiu alokačnej tabuľky FAT
Analýzou prijatých informácií môžete nájsť podozrivé zmeny v poliach veľkosti súboru, dátumu a času. Okrem toho pre každý súbor stĺpec Klaster zobrazuje číslo prvého klastra, ktorý je mu pridelený.
Pomocou ponuky Zobraziť môžete prepnúť na neformátované zobrazenie, keď je obsah adresára zobrazený ako výpis.
Venujte pozornosť ponuke Odkaz. Pomocou tohto menu môžete prejsť na prezeranie logicky súvisiacich štruktúr súborového systému.
Ako cvičenie vyberte súbor IO.SYS v koreňovom adresári jednotky C: a potom vyberte Cluster chain (FAT) z ponuky Link. Uvidíte prvú kópiu tabuľky prideľovania súborov FAT so farebne zvýrazneným reťazcom klastrov v súbore IO.SYS. Pomocou riadku Súbor ponuky Odkaz je možné jednoducho prepnúť do režimu prezerania obsahu súboru IO.SYS.
Všimnite si, že v mnohých prípadoch je možné vykonať prechody medzi logicky súvisiacimi dátovými štruktúrami dvojitým kliknutím ľavého tlačidla myši na obrázok týchto štruktúr, čo je veľmi pohodlné. Podrobnosti nájdete v dokumentácii k softvérovému balíku Norton Utilities.
Na čo sa zamerať pri kontrole adresárovej štruktúry?
Okrem vizuálnej kontroly polí tam umiestnených deskriptorov by ste si mali prezrieť celý adresár až do konca. Uistite sa, že v adresári nie sú žiadne nadbytočné údaje. Môže ich tam zapísať vírus.
Ak prepnete do režimu neformátovaného zobrazenia, môžete sa uistiť, že voľné položky adresára obsahujú nulové hodnoty. Ak sa po voľných prvkoch nachádzajú nejaké dáta, je veľmi pravdepodobné, že ich tam zapísal vírus alebo systém ochrany programu proti neoprávnenému kopírovaniu (ak analyzovaný adresár takéto programy obsahuje).
V prípade, že je adresár úplne alebo čiastočne poškodený, odkazy na súbory v ňom popísané sa stratia. Ak tak či onak nájdete sektory obsahujúce súbor, ktorý potrebujete, so zničeným deskriptorom, potom pomocou techniky opísanej nižšie môžete deskriptor obnoviť a získať prístup k súboru.
Adresáre v súborovom systéme VFAT
Pri obnove systému súborov FAT v počítači so systémom Microsoft Windows 95/98 / NT / 2000 by ste mali byť opatrní, pretože štruktúra adresárov v ňom je odlišná od štruktúry opísanej vyššie.
Ako asi viete, používatelia Microsoft Windows 95/98 nie sú príliš obmedzení obmedzeniami dĺžky názvov súborov a adresárov. A hoci teoreticky existuje takéto obmedzenie (255 znakov), nie je podstatné.
Programátori Microsoftu pri tvorbe nového operačného systému našli dômyselné riešenie problému kompatibility s programami MS-DOS pomocou názvov vo „formáte 8.3“ (8 znakov – názov súboru alebo adresára, 3 – prípona názvu).
Toto riešenie spočíva v tom, že v adresároch sú popri bežných deskriptoroch aj deskriptory špeciálneho druhu. Počet takýchto deskriptorov závisí od dĺžky názvu súboru alebo adresára. Práve v týchto deskriptoroch je uložený dlhý názov. Pre programy MS-DOS sa vytvorí bežný deskriptor, ktorý obsahuje alternatívny názov, ktorý zodpovedá štandardom MS-DOS.
Nový súborový systém sa nazýva VFAT.
Pozrite sa na obr. 9. Tento obrázok znázorňuje štruktúru adresára vytvoreného v súborovom systéme Microsoft Windows 98.
Ryža. 9. Rozšírené a alternatívne deskriptory pre dlhé názvy v koreňovom adresári
Všimnite si tri deskriptory pod deskriptorom súboru IO.SYS. Ide o špeciálne rozšírené deskriptory, ktoré uchovávajú informácie o dlhých menách v kódovaní UNICODE (v tomto kódovaní je každý znak reprezentovaný dvoma bajtmi). V tomto prípade rozšírené deskriptory ukladajú názov adresára DesignWorkshop Lite Installer.
Aby špeciálne deskriptory nezasahovali do prevádzky programov MS-DOS, sú v nich nastavené atribúty Iba na čítanie, Systém, Skryté a Označenie zväzku. Bežné programy MS-DOS ignorujú položky adresára s takouto exotickou sadou atribútov.
Špeciálny deskriptor je v novej verzii DISKEDIT označený ako LFN (Long File Name) a odkazuje na číslo klastra 0. Skutočné číslo prvého klastra prideleného súboru alebo adresáru je v štandardnom deskriptore hneď za rozšíreným deskriptorom. V tomto prípade je to handle na adresár s názvom DISIGN ~ 1 umiestnený v klastri 1274.
Ak je názov súboru alebo adresára dlhší ako 8 znakov, štandardný deskriptor nasledujúci za rozšíreným deskriptorom obsahuje alternatívny názov pozostávajúci z počiatočných znakov názvu, znaku ~ (vlnovka) a desatinného čísla. Tento deskriptor sa nazýva alternatívny.
Operačný systém Microsoft Windows NT / 2000 tiež vytvára rozšírené a alternatívne deskriptory na oddieloch FAT.
Pomocou riadku Viac z hlavného menu programu DISKEDIT môžete prezerať alebo upravovať ostatné polia špeciálnych deskriptorov.
Napríklad dátum a čas vytvorenia súboru sú v poliach Dátum vytvorenia a Čas vytvorenia. Operačný systém Microsoft Windows 95/98 navyše zaznamenáva dátum posledného prístupu k súboru. Tento dátum môžete vidieť v poli Prístup.
Pole EA obsahuje príznak pre rozšírené atribúty a má hodnotu nula pre štandardné atribúty.
Ak je názov taký dlhý, že sa nezmestí do jedného špeciálneho deskriptora, vytvorí sa niekoľko takýchto deskriptorov umiestnených za sebou. Potom nasleduje alternatívny deskriptor. Pole Ordinal obsahuje poradové číslo vlastného deskriptora. Pre posledný vlastný deskriptor je pole Posledný označené Áno.
Pre tých, ktorých zaujíma presný formát štandardných a rozšírených deskriptorov VFAT, sme poskytli fragment zdrojového kódu programu CrashUndo 2000. Ide o spojenie dvoch štruktúr, z ktorých prvá zodpovedá štandardnému deskriptoru a druhý k rozšírenému:
Typová definícia únie _FAT_DIR_ENTRY
{
struct _DIR
{
BYTE názov_adresára; // názov
BYTE dir_Extension; // rozšírenie názvu
BYTE dir_Attributes; // atribúty
BYTE dir_NTReserved; // vyhradené pre Windows NT
BYTE dir_CreateTimeTenth; // desatiny času stvorenia
UINT16 dir_CreateTime; // čas vytvorenia
UINT16 dir_CreateDate; // dátum vytvorenia
UINT16 dir_LastAccessDate; // dátum posledného prístupu
UINT16 dir_FirstClusterHi; // vysoké slovo čísla klastra
UINT16 dir_WriteTime; // čas aktualizácie
UINT16 dir_WriteDate; // dátum aktualizácie
UINT16 dir_FirstClusterLo; // najmenej významné slovo čísla zhluku
UINT32 dir_FileSize; // veľkosť súboru
) dir; struct _LFN
{
BYTE lfn_Sequence; // číslo deskriptora
WCHAR lfn_Name1; // prvá časť názvu
BYTE lfn_Attributes; // atribúty
BYTE lfn_LongEntryType; // príznak rozšíreného atribútu
BYTE lfn_Checksum; // kontrolný súčet mena
WCHAR lfn_Name2; // druhá časť názvu
UINT16 lfn_Reserved; // rezervované
WCHAR lfn_Name3; // tretia časť názvu
) lfn;
) FAT_DIR_ENTRY, * PFAT_DIR_ENTRY;
Všimnite si, že dve 16-bitové polia dir_FirstClusterHi a dir_FirstClusterLo sa používajú na uloženie čísla prvého klastra prideleného súboru alebo adresáru.
Čo sa týka tabuľky prideľovania súborov FAT, hoci sa v systéme Microsoft Windows 95/98 nazýva tabuľka prideľovania virtuálnych súborov (VFAT), jej formát zostáva rovnaký. Je to kvôli kompatibilite s programami MS-DOS. Zachované zostali aj formáty ostatných logických blokov súborového systému, ako je tabuľka diskových oddielov, tabuľka logického disku, bootovací záznam a BIOS Extended BPB.
Upozorňujeme, že staršie verzie Norton Utilities nie je možné použiť na obnovenie systému súborov Microsoft Windows 95/98, pretože nepoznajú nič o rozšírených a alternatívnych deskriptoroch.
Dátová oblasť
Po koreňovom adresári začína dátová oblasť, ktorá siaha až po koniec logickej jednotky. Táto oblasť je rozdelená na klastre a číslovanie klastrov začína číslom 2. Prvé sektory dátovej oblasti zodpovedajú klastrovému číslu 2.
Tu je vzorec spájajúci číslo klastra s číslami sektorov, ktoré zaberá na logickom disku:
SectNumber = DataStart + ((ClustNumber - 2) * ClusSize)
Tento vzorec používa nasledujúci zápis:
Tento vzorec môže byť užitočný pri manuálnom obnovení systému súborov.
Nájdite a obnovte súbory v oddieloch FAT
V tejto časti poskytneme niekoľko odporúčaní zameraných na obnovu súborov, ku ktorým sa znemožnil prístup v dôsledku škodlivých akcií vírusov alebo v dôsledku zničenia systému súborov FAT z akéhokoľvek iného dôvodu. V každom prípade by ste pred začatím práce na obnove mali vykonať úplnú štúdiu nastavení systému BIOS a systému súborov pomocou informácií, ktoré sme uviedli vyššie.
Mali by ste sa tiež uistiť, že dobre ovládate štruktúru súborového systému a poznáte formáty všetkých jeho komponentov, ako je tabuľka oddielov, tabuľka logického disku, tabuľka prideľovania súborov FAT atď.
Ak v procese skúmania súborového systému zistíte, že niektoré štruktúry boli úplne zničené (napríklad hlavný zavádzací záznam s tabuľkou oddielov, tabuľka logických jednotiek, adresárov atď.), nie je všetko stratené.
Ak bezpečnosť informácií nie je pre vás rozhodujúca, mnohé poškodenia systému súborov je možné opraviť automaticky pomocou programov Norton Disk Doctor alebo SCANDISK. Tieto veľmi dobré programy vám však v niektorých prípadoch nebudú vedieť poskytnúť výraznejšiu pomoc. Horšie je, že môžu natrvalo zničiť logickú štruktúru disku, po čom je obnovenie súborov nemožné.
Preto by ste mali ovládať aspoň základné techniky manuálnej obnovy súborového systému. V závažných alebo kritických prípadoch dôrazne odporúčame kontaktovať nás v službe DataRecovery.Ru prostredníctvom servera http://www.datarecovery.ru alebo http://www.frolov.pp.ru.
Hlavnou myšlienkou nájdenia stratených súborov a dátových štruktúr je, že poznáte (aspoň približne) ich názov alebo obsah.
Napríklad sektory obsahujúce tabuľku oddielov, tabuľku logického disku a zavádzací záznam majú podpis 0xAA55. Z predchádzajúcich častí tejto kapitoly viete, že zavádzacie programy obsahujú vo svojom tele dobre známe textové reťazce. Môžete ich použiť na vyhľadávanie. Takéto riadky sú prítomné aj v tele rozšíreného bloku parametrov BIOS Extended PBP (sú to riadky FAT12, FAT16 alebo FAT32).
Ak poznáte charakteristické slová alebo bajtové sekvencie nájdené v stratených dátových súboroch, sú tiež užitočné pri hľadaní sektorov súborov na obnovu.
Hľadajte pomocou Norton File Find
K najčastejšiemu poškodeniu systému súborov FAT dochádza pri náhlom výpadku napájania a je to výskyt takzvaných osirelých zhlukov. Toto poškodenie je tiež výsledkom tvrdého reštartu počítača počas spustenia operačného systému Microsoft Windows.
Stratené klastre sú takto pomenované, pretože nie sú odkazované v žiadnom adresári v súborovom systéme. Takáto situácia môže nastať napríklad v dôsledku skutočnosti, že príslušný adresár bol jednoducho zničený, a preto zmizli odkazy na súbory v ňom opísané.
Na opravu poškodení tohto druhu používajú používatelia najčastejšie program SCANDISK, ktorý je súčasťou operačného systému, alebo program Norton Disk Doctor.
Po obnovení súborového systému pomocou Norton Disk Doctor alebo SCANDISK sa na disku môže vytvoriť obrovské množstvo súborov so špecifickou príponou názvu, ktoré tvoria reťazce stratených klastrov (každý obnovovací program používa svoj vlastný názov). Takýchto súborov môže byť až niekoľko tisíc v závislosti od závažnosti poškodenia súborového systému.
Ak ste po zlyhaní alebo napadnutí vírusom skontrolovali disk niektorého z vyššie uvedených programov a v dôsledku toho zmizli potrebné súbory, je vysoká pravdepodobnosť, že boli medzi obnovenými súbormi. Ako ich však nájsť medzi stovkami a tisíckami iných?
Najjednoduchší spôsob, ako to urobiť, je napríklad pomocou programu Norton Find File. Dá sa spustiť z populárneho prostredia Norton Commander pomocou kombinácie kláves Alt + F7.
V poli File(s) to find musíte zadať vzor pre názov súboru a príponu názvu, napríklad * .NDD. Vyhľadávanie sa vykoná iba medzi súbormi, ktorých názov zodpovedá zadanému vzoru.
V poli Obsahuje tiež musíte zadať kontext pre vyhľadávanie, to znamená akýkoľvek textový reťazec, ktorý sa nachádza v súbore. Napríklad, ak chcete nájsť všetky súbory vytvorené textovým procesorom Microsoft Word pre Windows, môžete zadať kontextový reťazec „Microsoft Word“ a ak chcete nájsť všetky súbory pripravené v prostredí tabuľkového procesora Microsoft Excel, zadajte kontextový reťazec „Microsoft Excel “ .
V hornej časti okna Norton Find File sa zobrazí zoznam ciest k nájdeným súborom.
Neskôr, ak je stále veľa nájdených súborov, môžete ich prepísať do samostatného adresára a premenovať ich a potom pokračovať v hľadaní pomocou iných reťazcov ako kontextu.
Vyhľadávanie pomocou DISKEDIT
V porovnaní s programom Norton Find File opísaným v predchádzajúcej časti poskytuje DISKEDIT oveľa viac možností na vyhľadávanie súborov a rôznych štruktúr súborových systémov.
Hľadajte sekcie
Všimnite si ponuku Nástroje DISKEDIT.
Ak v tejto ponuke vyberiete riadok Nájsť, na obrazovke sa zobrazí dialógové okno Zadajte text vyhľadávania. Pomocou tohto dialógového okna môžete vykonávať kontextové vyhľadávanie reťazcov zadaných v znakových aj hexadecimálnych reprezentáciách. Okrem toho môžete určiť posun sektora a vybrať režim Ignorovať prípady. Pri použití tohto režimu sa porovnanie vzorov vykoná bez ohľadu na veľké alebo malé písmená.
Riadok Find Object vám umožňuje vyhľadávať rôzne štruktúry v súborovom systéme. Ak vyberiete tento riadok, na obrazovke sa zobrazí ponuka druhej úrovne, kde sú riadky Partition / Boot, FAT a Subdirectory.
Vyskúšajte to všetko v akcii. Ak to chcete urobiť, otvorte ponuku Objekt a vyberte z nej riadok Fyzický sektor. Potom vyberte úplne prvý sektor na stope 0. Tento sektor by mal obsahovať MBR. Prepnite sa na neformátované zobrazenie výberom riadku ako Hex z ponuky Zobraziť.
Čo ak sa však pozriete na hlavný zavádzací záznam a uvidíte, že tabuľka oddielov je poškodená alebo zašifrovaná?
V tomto prípade môžete vykonať kontextové vyhľadávanie sektorov spúšťacích záznamov obsahujúcich bloky parametrov BIOS BPB. Najjednoduchší spôsob, ako to urobiť, je vybrať riadok Partition / Boot z ponuky Tools / Find Object po zobrazení hlavného zavádzacieho záznamu na jeho fyzickej adrese a presune na ďalší sektor disku.
Program DISKEDIT nájde sektor, ktorý obsahuje na konci sekvenciu bajtov „55 AA“, zodpovedajúcu podpisu zavádzacieho sektora 0xAA55.
Po nájdení zavádzacieho sektora je možné jeho fyzickú adresu manuálne nahradiť do tabuľky partícií úpravou pomocou programu DISKEDIT.
Vzhľadom na to, že štruktúra diskových oddielov sa môže počas prevádzky tohto zariadenia mnohokrát meniť, je možné, že nájdete príliš veľa zavádzacích sektorov. Niektoré z nich patrili do starých oddielov a neboli zničené pri zmene štruktúry oddielov, niektoré môžu patriť úplne iným operačným systémom. V každom prípade skontrolujte umiestnenie nájdeného zavádzacieho sektora vzhľadom na iné logické štruktúry súborového systému, ktoré ste našli. Na „rozpoznanie“ môžete napríklad využiť fakt, že alokačná tabuľka súborov by mala nasledovať hneď za boot sektorom FAT partície.
Keďže počas vyhľadávania program DISKEDIT kontroluje len posledné dva bajty sektora, sú možné falošné poplachy. Za nájdeným sektorom sa môže nachádzať sektor, ktorého obsah nie je veľmi podobný alokačnej tabuľke súborov.
Hľadanie tabuliek FAT
Teraz vyberte riadok Nájsť objekt z ponuky Nástroje a potom riadok FAT. DISKEDIT vyhľadá prvú kópiu tabuľky prideľovania súborov FAT a zobrazí jej výpis, pričom zvýrazní prvé tri bajty.
Ak teraz presuniete textový kurzor nadol alebo stlačíte kláves PgDn a potom znova vyberiete riadok FAT z ponuky Nástroje / Nájsť objekt, nájde sa druhá kópia tabuľky prideľovania súborov FAT.
Všimnite si, že vyhľadávanie tabuliek FAT je v tomto prípade zredukované na vyhľadávanie postupnosti bajtov „F8 FF FF“, takže po treťom vykonaní vyhľadávania môžete nájsť ďalšiu, falošnú „tabuľku FAT“. Faktom je, že na disku je pravdepodobne nejaký súbor, ktorý obsahuje vyššie uvedenú postupnosť bajtov, takže buďte opatrní.
Hľadanie stratených adresárov
Teraz začnime hľadať stratené katalógy. Neexistujú žiadne odkazy na takéto adresáre z iných adresárov.
Na vyhľadávanie môžete použiť riadok Podadresár v ponuke Nástroje / Nájsť objekt. Program DISKEDIT skenuje sektory disku pri hľadaní jedného, na začiatku ktorého je sekvencia bajtov "2E 20 20 20 20 20 20 20 20 20 20". Táto sekvencia sa zhoduje s deskriptorom, ktorý obsahuje odkaz na adresár.
Stlačením kombinácie kláves Ctrl + G môžete pokračovať v hľadaní požadovaného adresára, kým nenájdete ten, ktorý obsahuje súbory, o ktoré máte záujem. Môžete tiež vyhľadávať podľa názvu súboru, ak ho poznáte.
Po nájdení požadovaného adresára je potrebné zapísať si fyzickú adresu sektora disku obsahujúceho adresár a potom nájsť alebo vypočítať číslo klastra zodpovedajúce adresáru.
Ak chcete zistiť číslo klastra, v ktorom sa nachádza nájdený adresár, prepnite na formátované zobrazenie adresára výberom riadku ako Adresár z ponuky Zobraziť. Potom vyberte riadok Cluster chain (fat) z ponuky Link. Obsah tabuľky FAT sa zobrazí na obrazovke v režime formátovaného zobrazenia so zvýrazneným číslom požadovaného klastra.
Obnovte stratené adresáre a súbory
Keď poznáte číslo klastra strateného adresára, môžete vytvoriť nový deskriptor adresára, napríklad v koreňovom adresári disku, av tomto deskriptore vytvoriť prepojenie na nájdený adresár. Potom bude stratený adresár opäť dostupný.
Upozorňujeme, že pre súborový systém VFAT musíte správne vyplniť pole kontrolného súčtu názvu v rozšírenom deskriptore a tiež zadať 32-bitové číslo prvého klastra prideleného súboru.
Môžete navrhnúť nasledujúci algoritmus obnovy súborov:
- vykonať kontextové vyhľadávanie sektorov súborov pomocou riadku Súbory v ponuke Nástroje, ako aj postupné prezeranie sektorov disku;
- určiť počet zhlukov zodpovedajúcich nájdeným sektorom pomocou vyššie uvedeného vzorca alebo pomocou programu DISKEDIT;
- obnoviť reťazec čísel klastrov pre súbor v tabuľke prideľovania súborov FAT, pričom posledný klaster v nej označíte špeciálnou hodnotou (napríklad 0xFFFF pre FAT-16);
- vytvorte deskriptor súboru v ľubovoľnom adresári (napríklad v koreňovom adresári);
- zadajte vo vygenerovanom deskriptore odkaz na prvý klaster obnoveného súboru a veľkosť súboru.
Ak ste obnovili súbor dokumentu vytvorený textovým procesorom Microsoft Word pre Windows alebo tabuľkovým procesorom Microsoft Excel, načítajte ho do príslušnej aplikácie a potom ho uložte pod iným názvom. Tým sa obnoví správna dĺžka súboru.
Jednoduchý textový súbor je možné načítať do textového editora a „odrezať“ nadbytočné údaje na konci súboru. Potom súbor uložte pod iným názvom.
Ak poznáte presnú dĺžku súboru, môžete si ju nastaviť pomocou programu DISKEDIT v režime úpravy deskriptora súboru (obr. 9).
Pomocou tipov „Ako vyčistiť infikovaný počítač“ uvedených v tomto článku môžete z počítača odstrániť akýkoľvek typ malvéru a vrátiť ho do funkčného stavu.
1. Uistite sa, že váš počítač je skutočne infikovaný
Pred pokusom o odstránenie akejkoľvek infekcie z počítača sa musíte uistiť, že je počítač skutočne infikovaný. Ak to chcete urobiť, prečítajte si pokyny, ktoré uvádzam v článku „“. Ak to skutočne ukazuje, že váš počítač je infikovaný, pokračujte krokmi v ďalšej časti. Uistite sa, že ich dodržiavate v správnom poradí.
2. Ako vyčistiť počítač a uistiť sa, že je naozaj čistý
Upozorňujeme, že pokročilí používatelia tu môžu jednoducho preskočiť na poslednú časť o tom, ako správne vyčistiť počítač. Toto je najúčinnejší prístup, ale zároveň jeden z časovo najnáročnejších. Ak je to však potrebné, môžete prejsť priamo do tejto sekcie a potom sa znova vrátiť na začiatok, ak napadnutie nebolo úplne odstránené.
2.1 Čistenie počítača pomocou CCE a TDSSKiller
Stiahnite si Comodo Cleaning Essentials (CCE) z tejto stránky. Uistite sa, že ste vybrali správnu verziu pre váš operačný systém. Ak si nie ste istí, ktorý operačný systém váš počítač používa – 32-bitový alebo 64-bitový – pozri. Z tejto stránky si stiahnite aj Kaspersky TDSSKiller. Ak sa vám nepodarí stiahnuť niektorý z týchto programov alebo ak vám nefunguje internetové pripojenie, budete to musieť urobiť pomocou iného počítača a preniesť ho do infikovaného pomocou flash disku. Uistite sa, že na jednotke Flash neboli žiadne ďalšie súbory. Buďte opatrní so svojím flashovým zariadením, pretože malvér ho môže infikovať, keď ho vložíte do počítača. Po prenose týchto programov ho preto nepripájajte k iným počítačom. Tiež by som rád zdôraznil, že oba programy sú prenosné. To znamená, že keď ich už budete používať, nemusíte ich odinštalovať. Stačí odstrániť ich priečinky a budú odstránené.
Po stiahnutí CCE rozbaľte súbor, otvorte priečinok a dvakrát kliknite na súbor s názvom „CCE“. Otvorí sa hlavné okno Comodo Cleaning Essentials. Ak sa neotvorí, podržte stlačený kláves Shift a dvakrát kliknite na súbor s názvom „CCE“. Po úspešnom otvorení CCE môžete uvoľniť kláves Shift. Neuvoľnite ho však, kým sa program úplne nenačíta do pamäte. Ak ho uvoľníte aspoň počas požiadavky UAC, nebude sa môcť správne otvoriť ani pri vynútenej metóde. Podržaním klávesu Shift sa otvorí aj na silne infikovaných počítačoch. Robí to potlačením mnohých nepotrebných procesov, ktoré by mohli brániť jeho spusteniu. Ak to stále nepomôže spustiť ho, stiahnite si a spustite program s názvom RKill. Dá sa stiahnuť z tejto stránky. Tento program zastaví známe škodlivé procesy. CCE by sa teda po spustení malo perfektne rozbehnúť.
Po spustení vykonajte Smart Scan v CCE a umiestnite do karantény čokoľvek, čo nájde. Tento program tiež sleduje systémové zmeny, ktoré mohol spôsobiť malvér. Ukážu sa vo výsledkoch. Navrhoval by som, aby ste to nechali opraviť programom. Po zobrazení výzvy reštartujte počítač. Po reštartovaní počítača spustite Kaspersky TDSSKiller, skenujte a umiestnite do karantény, čo sa nájde.
Tiež, ak vaše internetové pripojenie predtým nefungovalo, skontrolujte, či funguje aj teraz. Pre ďalšie kroky v tejto časti budete potrebovať platné internetové pripojenie.
Keď je skenovanie CCE dokončené a ste spokojní s tým, že vaše internetové pripojenie funguje, znova otvorte CCE. Dúfajme, že sa tentoraz otvorí, ale ak nie, otvorte ho so stlačeným klávesom Shift. Potom z ponuky "Nástroje" v CCE otvorte KillSwitch. V KillSwitch z ponuky „Zobraziť“ vyberte možnosť „Skryť bezpečné procesy“. Potom kliknite pravým tlačidlom myši na všetky procesy, ktoré sú označené ako podozrivé alebo nebezpečné, a vyberte možnosť ich odstránenia. Mali by ste tiež kliknúť pravým tlačidlom myši na všetky neznáme procesy, ktoré zostali, a vybrať možnosť „Kill Process“. Neodstraňujte procesy označené ako FLS.Unknown.Ďalej v CCE v ponuke Nástroje spustite analyzátor automatického spustenia a vyberte možnosť „Skryť bezpečné položky“ z ponuky „Zobraziť“. Potom zakážte všetky položky patriace k súborom, ktoré sú označené ako podozrivé alebo nebezpečné. Môžete to urobiť zrušením začiarknutia políčok vedľa položiek. Mali by ste tiež zakázať všetky položky označené ako FLS.Unknown, ale o ktorých si myslíte, že s najväčšou pravdepodobnosťou patria do malvéru. Neodstraňujte žiadne položky.
Teraz reštartujte počítač. Po reštartovaní znova skontrolujte svoj počítač pomocou rád, ktoré uvádzam v článku „“. Ak je všetko v poriadku, môžete prejsť do časti „“. Pamätajte, že zakázané položky databázy Registry nie sú nebezpečné. Upozorňujeme tiež, že aj keď váš počítač neobsahuje aktívne infekcie, stále sa na ňom môžu nachádzať kúsky škodlivého softvéru. Nie sú nebezpečné, ale nebuďte prekvapení, ak kontrola v inom programe stále nájde malvér vo vašom počítači. Toto sú spiace pozostatky toho, čo ste práve vymazali. Ak nie ste spokojní s prítomnosťou týchto zvyškov vo vašom počítači, veľkú väčšinu z nich môžete odstrániť skenovaním v programoch uvedených v ďalšej časti.
Ak však váš počítač ešte nebol vyčistený od aktívnych infekcií, ale aspoň jeden z programov sa podarilo spustiť, znova vykonajte kroky popísané v tejto časti a zistite, či sa tým odstránia infekcie. Ak sa však nepodarilo spustiť žiadny z programov, preskočte na ďalšiu časť. Okrem toho, aj keď opakovanie pokynov v tejto časti nestačí na vyčistenie počítača, budete musieť prejsť na ďalšiu časť.
2.2 Ak počítač stále nie je čistý, skenujte pomocou HitmanPro, Malwarebytes a Emsisoft Anti-Malware
Ak vyššie uvedené kroky úplne neodstránili infekciu, musíte si stiahnuť HitmanPro z tejto stránky. Nainštalujte program a spustite "Predvolené skenovanie". Ak sa nenainštaluje, prejdite na ďalší odsek a nainštalujte Malwarebytes. Keď sa zobrazí výzva počas inštalácie HitmanPro, odporúčam vám vybrať možnosť vykonať iba jednorazovú kontrolu počítača. To by malo byť v poriadku pre väčšinu používateľov. Ak mu malvér bráni v správnom spustení, otvorte program podržaním klávesu CTRL, kým sa nenačíta do pamäte. Dajte do karantény akúkoľvek infekciu, ktorú nájde. Majte na pamäti, že tento program bude môcť odstraňovať infekcie iba 30 dní po inštalácii. Počas odinštalovania sa zobrazí výzva na aktiváciu skúšobnej licencie.
Keď HitmanPro odstráni všetky zistené napadnutia alebo ak sa Hitman Pro nepodarilo nainštalovať, musíte si stiahnuť bezplatnú verziu Malwarebytes z tejto stránky. Všimnite si, že má technológiu chameleon, ktorá by mala pomôcť pri inštalácii aj na silne infikované počítače. Odporúčam vám, aby ste počas inštalácie zrušili začiarknutie políčka „Povoliť bezplatnú skúšobnú verziu Malwarebytes Anti-Malware Pro“. Uistite sa, že je program plne aktualizovaný a potom spustite rýchlu kontrolu. Dajte do karantény akúkoľvek infekciu, ktorú nájde. Ak niektorý program požiada o reštart počítača, nezabudnite ho reštartovať.
Potom si stiahnite Emsisoft Emergency Kit z tejto stránky. Po dokončení sťahovania extrahujte obsah súboru zip. Potom dvakrát kliknite na súbor s názvom „štart“ a otvorte „Skener núdzovej súpravy“. Po zobrazení výzvy nechajte program aktualizovať databázu. Po aktualizácii sa vráťte do ponuky Zabezpečenie. Potom prejdite na „Skontrolovať“ a vyberte „Rýchle“ a potom kliknite na „Skontrolovať“. Po dokončení skenovania umiestnite všetky nájdené položky do karantény. V prípade potreby reštartujte počítač.
Po skenovaní počítača týmito programami ho musíte reštartovať. Potom znova skontrolujte svoj počítač pomocou rád, ktoré uvádzam v článku „“. Ak je všetko v poriadku, môžete prejsť na časť „“. Pamätajte, že zakázané položky databázy Registry nie sú nebezpečné. Ak však váš počítač stále nie je vyčistený, vykonajte znova kroky v tejto časti a zistite, či to pomôže odstrániť infekcie. Ak programy v časti 2.1 predtým nefungovali správne, mali by ste sa vrátiť a skúsiť ich spustiť znova. Ak sa nepodarilo spustiť žiadny z vyššie uvedených programov, spustite systém v núdzovom režime so sieťou a skúste skenovať odtiaľ. Ak však boli schopní začať správne a hrozby stále pretrvávajú aj po opätovnom dodržaní rád v tejto časti, môžete prejsť na ďalšiu časť.
2.3 V prípade potreby vyskúšajte tieto pomalšie metódy
Ak vyššie uvedené opatrenia úplne neodstránili infekciu, potom sa vo vašom počítači pravdepodobne nachádza nejaký veľmi nereagujúci malvér. Techniky diskutované v tejto časti sú teda oveľa účinnejšie, ale zaberú viac času. Prvá vec, ktorú vám odporúčam, je naskenovať váš počítač pomocou iného anti-rootkit skenera s názvom GMER. Dá sa stiahnuť z tejto stránky. Odstráňte všetko, čo je vyznačené červenou farbou. Nezabudnite kliknúť na tlačidlo Skenovať hneď po tom, ako program dokončí rýchlu analýzu systému. Okrem toho, ak používate 32-bitový operačný systém, musíte si stiahnuť program na nájdenie a odstránenie rootkitu ZeroAccess. Informácie o tomto rootkite a odkaz na program na jeho odstránenie z 32-bitových systémov nájdete tu na. AntiZeroAccess je možné stiahnuť z odkazu v druhom odseku.
Po skenovaní vo vyššie uvedených programoch by ste mali ďalej otvoriť CCE, prejsť do nastavení a vybrať možnosť „Vyhľadať podozrivé úpravy MBR“. Potom kliknite na „OK“. Teraz v CCE urobte úplné skenovanie. V prípade potreby reštartujte a umiestnite do karantény, čo sa nájde. Upozorňujeme, že táto možnosť môže byť relatívne nebezpečná, pretože dokáže identifikovať problémy tam, kde nie sú. Používajte ho opatrne a uistite sa, že ste si zálohovali všetko dôležité. Upozorňujeme, že v zriedkavých prípadoch môže skenovanie s týmito možnosťami spôsobiť, že systém nebude možné spustiť. To sa stáva zriedka, ale aj keď sa to stane, je to opraviteľné. Ak sa váš počítač po vykonaní tejto kontroly prestane spúšťať, obnovte systém pomocou inštalačného disku systému Windows. To by malo pomôcť pri opätovnom spustení počítača.
Po úplnom dokončení CCE znova otvorte CCE a súčasne podržte kláves SHIFT. Táto akcia zabije väčšinu nepotrebných procesov, ktoré by vám mohli brániť v skenovaní. Potom otvorte KillSwitch, prejdite do ponuky „Zobraziť“ a vyberte „Skryť bezpečné procesy“. Teraz odstráňte všetky nebezpečné procesy ešte raz. Potom by ste tiež mali kliknúť pravým tlačidlom myši na všetky neznáme procesy, ktoré zostali, a vybrať „Kill Process“. Neodstraňujte ich. pri každom reštartovaní počítača by ste mali postupovať podľa rád v tomto odseku, aby ste si boli istí, že nasledujúce kontroly budú čo najefektívnejšie.
Po dokončení všetkých procesov, ktoré sa nepovažovali za spoľahlivé, by ste mali otvoriť program HitmanPro so stlačeným klávesom CTRL. Potom vykonajte „Predvolené skenovanie“ a umiestnite do karantény čokoľvek, čo nájde. Potom vykonajte úplnú kontrolu v Malwarebytes a Emsisoft Emergency Kit. Všetko, čo nájdu, dajte do karantény. Potom si stiahnite bezplatnú verziu SUPERAntiSpyware z tejto stránky. Počas inštalácie buďte veľmi opatrní, pretože ostatné programy sa dodávajú s inštalačným programom. Na prvej stránke nezabudnite zrušiť začiarknutie oboch možností týkajúcich sa inštalácie prehliadača Google Chrome. Teraz vyberte možnosť „Vlastná inštalácia“. Počas vlastnej inštalácie budete musieť znova zrušiť začiarknutie dvoch políčok z možnosti pridať Google Chrome.
Okrem toho sa program nainštaluje v poriadku. Keď sa zobrazí výzva na začatie bezplatného skúšobného obdobia, odporúčame vám odhlásiť sa. Po úplnom načítaní programu vyberte možnosť Úplná kontrola a kliknite na tlačidlo „Skenovať počítač ...“. Potom kliknite na tlačidlo "Spustiť úplné skenovanie>". Odstráňte všetky zistené súbory a v prípade potreby reštartujte počítač.
Po dokončení týchto krokov musíte reštartovať počítač. Potom to znova skontrolujte pomocou rád, ktoré uvádzam v článku „“. Ak je všetko v poriadku, môžete prejsť do časti „“. Pamätajte, že zakázané položky databázy Registry nie sú nebezpečné. Ak však váš počítač stále nie je vyčistený, znova vykonajte kroky v tejto časti a zistite, či to pomôže pri eliminácii infekcie. Ak nie, musíte prejsť na ďalšiu časť.
2.4 V prípade potreby vytvorte bootovací disk
Ak vyššie uvedené metódy úplne neodstránili infekciu alebo ak nemôžete ani spustiť počítač, potom na vyčistenie počítača možno budete potrebovať zavádzacie CD (alebo flash disk), nazývané tiež zavádzací disk. Viem, že to môže znieť komplikovane, ale v skutočnosti to nie je také zlé. Nezabudnite vytvoriť tento disk na počítači, ktorý nie je infikovaný. V opačnom prípade môžu byť súbory poškodené alebo dokonca infikované.
Keďže ide o zavádzací disk, žiadny malvér sa pred ním nemôže skrývať, deaktivovať ho ani nijakým spôsobom zasahovať do jeho práce. Preto by skenovanie v rôznych programoch týmto spôsobom malo umožniť čistenie takmer každého počítača, bez ohľadu na to, ako môže byť infikovaný. Jedinou výnimkou je, ak boli na počítači infikované samotné systémové súbory. Ak áno, odstránenie zamorenia by mohlo poškodiť systém. Predovšetkým z tohto dôvodu ste si pred začatím procesu čistenia zálohovali všetky dôležité dokumenty. Niekedy to však môžete obísť, ak budete postupovať podľa rád, ktoré uvádzam nižšie.
Ak to chcete urobiť, musíte si stiahnuť. Je to vynikajúci program, ktorý vám umožní vytvoriť jeden bootovací disk s niekoľkými antivírusovými programami. Má tiež mnoho ďalších užitočných funkcií, ktoré v tomto článku nebudem rozoberať. Niektoré veľmi užitočné návody pre SARDU nájdete tu na tejto stránke. Buďte veľmi opatrní pri ďalších návrhoch, ktoré sú teraz súčasťou inštalačného programu. Bohužiaľ, tento program sa teraz snaží oklamať ľudí, aby si nainštalovali ďalšie programy, ktoré sú väčšinou zbytočné.
Po stiahnutí rozbaľte obsah a otvorte priečinok SARDU. Potom spustite spustiteľný súbor, ktorý zodpovedá vášmu operačnému systému – buď sardu alebo sardu_x64. Na karte Antivírus kliknite na antivírusové aplikácie, ktoré chcete napáliť na vytváraný disk. Môžete pridať toľko alebo len málo, koľko uznáte za vhodné. Odporúčam vám skontrolovať počítač aspoň pomocou Dr.Web LiveCD, Avira Rescue System a Kaspersky Rescue Disk. Jednou z pekných vecí na Dr.Web je, že niekedy má možnosť nahradiť infikovaný súbor jeho čistou verziou, namiesto toho, aby ho len vymazal. Pomôže vám to vyčistiť niektoré počítače bez poškodenia systému. Preto vrelo odporúčam zahrnúť Dr.Web do zavádzacieho disku.
Kliknutie na názvy rôznych antivírusových aplikácií vás často presmeruje na stránku, z ktorej si môžete stiahnuť obraz ISO s príslušným antivírusom. Niekedy namiesto toho dostanete možnosť stiahnuť si ho priamo cez SARDU, ktorý nájdete na karte Downloader. Ak máte na výber, vždy zvoľte možnosť stiahnutia ISO. Po stiahnutí súboru ISO ho možno budete musieť presunúť do priečinka ISO umiestneného v hlavnom priečinku SARDU. Keď presuniete ISO všetkých požadovaných antivírusových produktov do priečinka ISO, ste pripravení vytvoriť núdzový spúšťací disk. Ak to chcete urobiť, prejdite na kartu Antivírus a uistite sa, že sú začiarknuté všetky antivírusy, ktoré ste vybrali. Teraz kliknite na tlačidlo vytvoriť pre zariadenie USB alebo disk. Každá z týchto možností bude prijateľná. Záleží len na tom, či chcete záchranný disk spustiť z USB alebo z CD.
Po vytvorení záchranného disku budete pravdepodobne musieť zmeniť postupnosť zavádzania v nastaveniach systému BIOS, aby ste zaistili, že po vložení zavádzacieho disku CD alebo zavádzacieho zariadenia flash sa spustí počítač a nie operačný systém ako zvyčajne. Pre naše účely by ste mali zmeniť poradie tak, aby prvá položka bola "CD / DVD Rom mechanika", ak chcete zaviesť systém z CD alebo DVD, alebo "Vymeniteľné zariadenia", ak chcete zaviesť systém z flash disku. Po dokončení spustite počítač zo záchranného disku.
Po zavedení z disku si môžete vybrať, ktorým antivírusom chcete spustiť skenovanie počítača. Ako som už spomínal, odporučil by som začať s Dr.Web. Keď tento program skončí a obnovíte alebo odstránite čokoľvek, čo nájde, budete musieť vypnúť počítač. Potom nezabudnite znova spustiť systém z disku a potom pokračovať v skenovaní v iných antivírusoch. Pokračujte v tomto procese, kým neskontrolujete počítač všetkými antivírusovými programami, ktoré ste zapísali na spúšťací disk.
Po vyčistení počítača programami, ktoré ste napálili na disk, sa teraz musíte pokúsiť znova spustiť systém Windows. Ak je počítač schopný spustiť sa zo systému Windows, skontrolujte to pomocou pokynov, ktoré uvádzam v článku „“. Ak je všetko v poriadku, môžete prejsť do časti „“. Pamätajte, že zakázané položky databázy Registry nemožno prelomiť.
Ak váš počítač ešte nie je vyčistený, ale môžete zaviesť systém zo systému Windows, potom by som vám odporučil, aby ste ho vyskúšali vyčistiť v systéme Windows, počnúc týmto článkom a podľa odporúčaných metód. Ak však váš počítač stále nemôže spustiť systém Windows, skúste ho znova upratať pomocou inštalačného disku systému Windows. To by malo pomôcť pri opätovnom spustení počítača. Ak ani to nepomôže, aby sa dal spustiť, skúste pridať ďalšie antivírusy na núdzový spúšťací disk a potom znova skontrolujte počítač. Ak to stále nepomôže, čítajte ďalej.
3. Čo robiť, ak vyššie uvedené metódy nepomohli vyčistiť počítač
Ak ste dodržali všetky vyššie uvedené pokyny a stále sa vám nedarí vyčistiť počítač, ale ste presvedčený, že problémy spôsobuje malvér, budeme veľmi vďační, ak zanecháte komentár a vysvetlíte, čo ste sa pokúsili urobiť, aby ste vyčistili svoj počítač, a čo zostalo za náznakmi, že si myslíte, že váš počítač stále nie je vyčistený. Je to veľmi dôležité pre zlepšenie tohto článku. Naozaj dúfam, že sa do tejto sekcie nikto nikdy nedostane. Cieľom tohto článku je poskytnúť vám možnosť úplne vyčistiť infikovaný počítač.
Môžete tiež požiadať o radu na špecializovanom fóre na odstránenie škodlivého softvéru. Veľmi užitočné fórum, ktoré je naším partnerom -. Ak však aj po požiadaní o pomoc na fóre na odstránenie škodlivého softvéru váš počítač stále neobsahuje škodlivý softvér, možno budete musieť naformátovať počítač a spustiť ho týmto spôsobom. To znamená, že stratíte všetko, čo ste predtým neskopírovali. Ak tak urobíte, pred preinštalovaním systému Windows úplne naformátujte počítač. Tým sa odstráni takmer akýkoľvek druh malvéru. Po preinštalovaní systému Windows postupujte podľa krokov v.
4. Čo robiť po konečnej identifikácii všetkého škodlivého softvéru na odstránenie
Keď sa ubezpečíte, že je váš počítač vyčistený, môžete sa teraz pokúsiť obnoviť všetko, čo ste stratili. Môžete použiť nástroj Windows Repair (All In One), nástroj typu všetko v jednom, ktorý opravuje veľké množstvo známych problémov systému Windows vrátane chýb registra, povolení súborov, programu Internet Explorer, aktualizácií systému Windows a brány Windows Firewall. Ak po dokončení všetkých postupov váš počítač funguje normálne, môžete tiež otvoriť Comodo Autorun Analyzer a vybrať možnosť vymazať tie položky databázy Registry, ktoré ste práve predtým zakázali. Vo vašom počítači sa teda už nebudú nachádzať vôbec.
Po bezpečnom odstránení všetkých infiltrácií z počítača a odstránení zvyškov zničujúcich následkov musíte podniknúť kroky, aby sa to už neopakovalo. Z tohto dôvodu som napísal príručku „Ako zostať v bezpečí online“ (čoskoro bude zverejnená na našej stránke). Prečítajte si ho neskôr a implementujte metódy, ktoré podľa vás najlepšie vyhovujú vašim potrebám.
Po zabezpečení počítača teraz môžete obnoviť všetky súbory stratené počas procesu čistenia, ktoré boli predtým zálohované. Dúfajme, že tento krok nebude potrebné urobiť. Pred ich obnovením sa tiež uistite, že je váš počítač veľmi dobre chránený. Ak svoj počítač nechránite dostatočne, môžete ho náhodne infikovať a potom na ňom budete musieť infekciu znova vyčistiť. Okrem toho, ak ste na presun súborov do infikovaného počítača použili zariadenie USB, teraz ho môžete vložiť späť do počítača a uistiť sa, že v ňom nie je žiadny malvér. Odporúčam to urobiť odstránením všetkých zvyškových súborov.
Našli ste preklep? Stlačte Ctrl + Enter
Počítačové vírusy
Počítačový vírus je špeciálne napísaný malý program, ktorý sa dokáže „pripísať“ iným programom (teda ich „infikovať“) a tiež vykonávať rôzne nežiaduce akcie na počítači. Program, ktorý obsahuje vírus, sa nazýva „infikovaný“. Keď takýto program začne fungovať, vírus najprv získa kontrolu. Vírus nájde a "infikuje" iné programy a tiež vykoná niektoré škodlivé akcie (napríklad poškodí súbory alebo tabuľku FAT, "upchne" RAM atď.). Ak chcete maskovať vírus, akcie na infikovanie iných programov a spôsobenie škody sa nemusia vykonať vždy, ale za určitých podmienok. Potom, čo vírus vykoná akcie, ktoré potrebuje, odovzdá riadenie programu, v ktorom sa nachádza, a funguje ako zvyčajne. Navonok teda fungovanie infikovaného programu vyzerá rovnako ako fungovanie neinfikovaného programu.
Počítačový vírus sa môže pokaziť, t.j. nesprávne upraviť akýkoľvek súbor na diskoch vášho počítača. Vírus však môže „infikovať“ niektoré typy súborov. To znamená, že do týchto súborov môže „preniknúť“ vírus, t.j. upravte ich tak, aby obsahovali vírus, ktorý za určitých okolností môže začať fungovať.
Prejav prítomnosti vírusu v práci na PC
Všetky akcie vírusu je možné vykonať dostatočne rýchlo a bez vydávania akýchkoľvek správ, takže pre používateľa je veľmi ťažké si všimnúť, že sa v počítači deje niečo neobvyklé.
Niektoré príznaky infekcie:
- niektoré programy prestanú fungovať alebo začnú pracovať nesprávne;
- na obrazovke sa zobrazujú cudzie správy, symboly atď.;
- práca na počítači sa výrazne spomalí;
- niektoré súbory sú poškodené atď.
- operačný systém sa nespustí;
- zmena dátumu a času úpravy súboru;
- zmena veľkosti súborov;
- výrazné zvýšenie počtu súborov na disku;
- výrazné zníženie veľkosti voľnej pamäte RAM atď.
Niektoré typy vírusov spočiatku neviditeľne infikujú veľké množstvo programov či diskov a následne spôsobujú veľmi vážne škody, napríklad naformátujú celý pevný disk v počítači. Iné vírusy sa snažia správať čo najdiskrétnejšie, no postupne a postupne kazia dáta na pevnom disku.
Ak teda neprijmete opatrenia na ochranu pred vírusom, následky infekcie počítača môžu byť veľmi vážne.
Odrody počítačových vírusov
Vírusy sú klasifikované podľa ich biotopu a spôsobu expozície. Podľa ich biotopu sú vírusy rozdelené do nasledujúcich typov:
- súborové vírusy, ktoré sa vnášajú najmä do spustiteľných súborov, t.j. súbory s príponou exe, com, bat, ale môžu byť distribuované aj prostredníctvom súborov dokumentov;
- bootovateľné, ktoré sú vložené do zavádzacieho sektora disku alebo do sektora obsahujúceho zavádzací program pre systémový disk;
- makrovírusy, ktoré infikujú súbory dokumentov a šablóny dokumentov vo Worde a Exceli;
- sieť distribuovaná prostredníctvom počítačovej siete;
Najbežnejšie vírusy sú tie, ktoré infikujú spustiteľné súbory. Niektoré vírusy infikujú súbory aj bootovacie oblasti disku.
Aby sa zabránilo odhaleniu, niektoré vírusy používajú pomerne šikovné maskovacie techniky. Zvážte „neviditeľné“ a samomodifikujúce sa vírusy.
"neviditeľné" vírusy... veľa pamäťovo rezidentné vírusy(Keď vírus rezidentný v pamäti infikuje počítač, zanechá svoju rezidentnú časť v pamäti RAM, ktorá potom zachytí prístup operačného systému k objektom infekcie a vstrekne sa do nich) (súbor aj zavádzanie) bráni jeho detekcii zachytením operačného systému volania na infikované súbory a oblasti disku a vydávajú ich v pôvodnej (neinfikovanej) podobe. Tento efekt je samozrejme pozorovaný len na infikovanom počítači – na „čistom“ počítači sa dajú ľahko zistiť zmeny v súboroch a bootovacích oblastiach disku.
Samomodifikujúce sa vírusy... Ďalšou metódou, ktorú používajú vírusy na skrytie pred odhalením, je úprava ich tiel. Mnohé vírusy uchovávajú väčšinu svojho tela zakódovanú, takže rozoberači nemôžu prísť na to, ako fungujú. Samomodifikačné vírusy využívajú túto techniku a často menia parametre tohto kódovania a okrem toho menia aj svoju štartovaciu časť, ktorá slúži na dekódovanie zvyšku vírusových príkazov. V tele takéhoto vírusu teda neexistuje jediný konštantný bajtový reťazec, podľa ktorého by sa dal vírus identifikovať. To prirodzene sťažuje detekčným programom nájsť takéto vírusy.
Spôsoby ochrany pred počítačovými vírusmi
Bez ohľadu na vírus musí používateľ poznať základné metódy ochrany pred počítačovými vírusmi.
Na ochranu pred vírusmi môžete použiť:
- všeobecné nástroje na ochranu informácií, ktoré sú užitočné aj ako poistenie fyzického poškodenia diskov, nefunkčnosti programov alebo chybného konania používateľa;
- preventívne opatrenia na zníženie pravdepodobnosti nákazy vírusom;
- špecializované programy na ochranu pred vírusmi.
Všeobecné nástroje zabezpečenia informácií sú užitočné nielen na ochranu pred vírusmi. Existujú dva hlavné typy týchto nápravných opatrení:
- kopírovanie informácií - vytváranie kópií súborov a systémových oblastí diskov;
- vymedzenie prístupu zabraňuje neoprávnenému použitiu informácií, najmä ochranu pred zmenami programov a údajov vírusmi, nefunkčnosťou programov a chybným konaním používateľov.
Aj keď sú všeobecné nástroje informačnej bezpečnosti veľmi dôležité na ochranu pred vírusmi, stále nestačia. Na ochranu pred vírusmi je tiež potrebné používať špecializované programy. Tieto programy možno rozdeliť do niekoľkých typov: detektory, lekári (fágy), vyšetrovatelia, vyšetrovatelia, filtre a vakcíny (imunizátory).
Programy detektorov umožňuje odhaliť súbory infikované jedným z niekoľkých známych vírusov. Tieto programy kontrolujú, či súbory na jednotke určenej používateľom obsahujú kombináciu bajtov špecifickú pre vírusy. Táto kombinácia sa nazýva podpis. Ak sa nájde v akomkoľvek súbore, na obrazovke sa zobrazí príslušná správa. Mnoho detektorov má režimy dezinfekcie alebo dezinfekcie infikovaných súborov. Treba zdôrazniť, že detekčné programy dokážu odhaliť len tie vírusy, ktoré sú im „známe“.
To, že detektory nerozpoznajú program ako infikovaný, teda neznamená, že je zdravý – môže obsahovať nejaký nový vírus alebo mierne upravenú verziu starého vírusu, ktorý programy detektorov nepoznajú.
Audítorské programy majú dve fázy práce. Najprv si zapamätajú informácie o stave programov a systémových oblastiach diskov (boot sektor a sektor s tabuľkou rozdelenia pevného disku). Predpokladá sa, že v tomto bode programy a systémové oblasti diskov nie sú infikované. Potom môžete pomocou programu audítora kedykoľvek porovnať stav programov a systémových oblastí diskov s originálom. Zistené nezrovnalosti sú hlásené užívateľovi.
Mnohé auditovacie programy sú dosť „inteligentné“ – dokážu rozlíšiť zmeny v súboroch spôsobené napríklad prechodom na novú verziu programu od zmien vykonaných vírusom a nevyvolávajú falošné poplachy. Ide o to, že vírusy zvyčajne upravujú súbory veľmi špecifickým spôsobom a robia rovnaké zmeny v rôznych programových súboroch. Je jasné, že v normálnej situácii sa takéto zmeny takmer nikdy nevyskytujú, takže program audítora po zaznamenaní takýchto zmien môže s istotou oznámiť, že sú spôsobené vírusom.
Filtre, ktoré sú rezidentné v RAM počítača a zachytávajú tie volania operačného systému, ktoré využívajú vírusy na množenie a poškodzovanie, a hlásia ich používateľovi. Používateľ môže povoliť alebo zakázať príslušnú operáciu.
Niektorí filtračné programy„nechytajú“ podozrivé akcie, ale kontrolujú programy, ktoré sa majú spustiť, na vírusy. To spôsobí spomalenie počítača.
Výhody používania filtračných programov sú však značné - umožňujú vám odhaliť veľa vírusov v počiatočnom štádiu.
Očkovacie programy, prípadne imunizátory, upravujú programy a disky tak, aby to neovplyvnilo činnosť programov, ale vírus, proti ktorému sa očkovanie vykonáva, považuje tieto programy alebo disky za už infikované. Tieto programy sú veľmi neefektívne.
Žiadny jednotlivý typ antivírusového programu sám o sebe neposkytuje úplnú ochranu pred vírusmi. Najlepšou stratégiou na ochranu pred vírusmi je vrstvená, „vrstvená“ obrana. Zvážte štruktúru tejto obrany.
Spravodajským nástrojom v „obrane“ proti vírusom zodpovedajú detekčné programy, ktoré umožňujú kontrolovať novoprijatý softvér na prítomnosť vírusov.
V popredí obrany sú filtračné programy. Tieto programy môžu ako prvé hlásiť pôsobenie vírusu a zabrániť infekcii programov a diskov.
Druhý stupeň obrany tvoria programy auditu, programy lekárov a lekári-audítori.
Najhlbším stupňom obrany je prostriedok na diferenciáciu prístupu. Zabraňujú vírusom a nefunkčným programom, aj keď sa dostali do vášho počítača, pokaziť dôležité údaje. „Strategická rezerva“ obsahuje archívne kópie informácií. To vám umožní obnoviť informácie, ak sú poškodené.
Jednou z hlavných metód boja proti vírusom je teda včasná prevencia ich výskytu a šírenia. Len komplexné preventívne ochranné opatrenia poskytujú ochranu pred možnou stratou informácií. Komplex takýchto opatrení zahŕňa:
- Pravidelná archivácia informácií (vytváranie záložných kópií dôležitých súborov a systémových oblastí pevného disku).
- Používajte iba licencované distribučné kópie softvérových produktov.
- Systematické skenovanie počítača na prítomnosť vírusov. Počítač musí byť vybavený účinným, pravidelne používaným a neustále aktualizovaným antivírusovým softvérovým balíkom. Pre väčšiu bezpečnosť by sa malo paralelne používať niekoľko antivírusových programov.
- Implementácia kontroly vstupu nového softvéru, prijímaných diskiet. Pri prenose súborov do počítača v archivovanej podobe je potrebné ich po rozbalení aj skontrolovať.
- Pri práci na iných počítačoch by ste mali vždy chrániť svoje diskety pred zápisom v prípadoch, keď sa na ne neplánuje zaznamenávať informácie.
- Pri vyhľadávaní vírusov by ste mali používať známy čistý operačný systém spustený z diskety.
- Pri práci v sieti je potrebné používať antivírusové programy na kontrolu prichádzajúcej pošty všetkých súborov prijímaných z počítačových sietí. Nikdy by ste nemali spúšťať neoverené súbory prijaté cez počítačové siete.
Moderné technológie antivírusovej ochrany dokážu chrániť pred vírusmi súborové servery, poštové servery a aplikačné servery. Napríklad Kaspersky Anti-Virus for File Server Protection dokáže detekovať a neutralizovať všetky typy malvéru na súborových serveroch a aplikačných serveroch spustených na OS Solaris, vrátane trójskych koní, Java a apletov ActiveX.
Kaspersky Anti-Virus na ochranu súborového servera zahŕňa:
- antivírusový skener, ktorý na žiadosť používateľa vykonáva antivírusovú kontrolu všetkých dostupných súborových systémov na prítomnosť vírusov. Kontrolujú sa aj archivované a komprimované súbory;
- antivírusový démon, čo je typ antivírusového skenera s optimalizovaným postupom načítania antivírusových databáz do pamäte, kontroluje údaje v reálnom čase;
- inšpektor zmien, Kaspersky Inspector, monitoruje všetky zmeny v súborových systémoch počítača. Modul nevyžaduje aktualizácie antivírusovej databázy: kontrola prebieha na základe odstránenia kontrolných súčtov súborov (CRC - sums) a ich následného porovnania s údajmi získanými po zmene súborov.
Kombinované použitie týchto modulov umožňuje vytvoriť antivírusovú ochranu, ktorá najviac vyhovuje systémovým požiadavkám.
Zistené podozrivé alebo infikované objekty je možné umiestniť do predtým určeného adresára „karanténa“ na ďalšiu analýzu.
Kaspersky Anti-Virus poskytuje komplexnú centralizovanú antivírusovú ochranu pre poštové systémy bežiace na OS Solaris.
Všetky prvky e-mailu sú kontrolované na prítomnosť vírusov – telo, priložené súbory (vrátane archivovaných a komprimovaných), vložené OLE objekty, správy ľubovoľnej úrovne vnorenia. Zistené podozrivé alebo infikované objekty je možné dezinfikovať, odstrániť, premenovať alebo umiestniť do preddefinovaného karanténneho adresára na ďalšiu analýzu.
Denná aktualizácia vírusovej databázy sa automaticky realizuje cez internet pomocou špeciálne zabudovaného modulu a poskytuje vysokú úroveň detekcie počítačových vírusov.
Kontrolné otázky
- Čo sa nazýva počítačový vírus?
- Ktorý program sa nazýva „infikovaný“?
- Čo sa stane, keď sa spustí infikovaný program?
- Ako sa dá zamaskovať vírus?
- Aké sú príznaky vírusovej infekcie?
- Aké sú následky infikovania počítačovým vírusom?
- Ako sa klasifikujú počítačové vírusy?
- Ako sú vírusy klasifikované podľa biotopu?
- Aké typy počítačových vírusov sa prideľujú podľa spôsobu expozície?
- Aké vírusy môžu infikovať?
- Ako sa maskujú „neviditeľné“ vírusy?
- Aké sú vlastnosti samomodifikujúcich vírusov?
- Aké metódy ochrany pred počítačovými vírusmi môžete použiť?
- V akých prípadoch sa používajú špecializované programy na ochranu pred počítačovými vírusmi?
- Aké typy možno rozdeliť na programy na ochranu pred počítačovými vírusmi?
- Ako fungujú programy detektorov?
- Čo sa nazýva podpis?
- Rozpozná detektor vždy infikovaný program?
- Aký je princíp fungovania programov auditu, filtračných programov, očkovacích programov?
- Ako vyzerá viacúrovňová ochrana proti počítačovým vírusom pomocou antivírusového softvéru?
- Uveďte opatrenia na ochranu informácií pred počítačovými vírusmi.
- Aké sú súčasné technológie antivírusovej ochrany?
- Aké sú možnosti Kaspersky Anti-Virus na ochranu súborových serverov? poštové servery?
- Aké moduly obsahuje Kaspersky Anti-Virus na ochranu súborových systémov?
- Aký je účel týchto modulov?
- Ktoré prvky e-mailu sú kontrolované na prítomnosť vírusov?
- Ako Kaspersky Anti-Virus neutralizuje zistené podozrivé alebo infikované objekty?
- Ako sa aktualizuje vírusová databáza?
POČÍTAČOVÉ VÍRUSY
A sporné a infikované súbory
Klasifikácia vírusov PREVENCIA A BOJ PROTI POČÍTAČOVÝM VÍRUSOM
ÚVOD
V súčasnosti sú mnohé oblasti ľudskej činnosti spojené s používaním počítačov. Prečo sú tieto elektronické stroje tak pevne začlenené do našich životov? Všetko je dosť triviálne. Vykonávajú rutinné výpočty a projekčné práce, čím uvoľňujú náš mozog pre potrebnejšie a zodpovednejšie úlohy. Výsledkom je, že únava sa dramaticky zníži a začneme pracovať oveľa produktívnejšie ako bez použitia počítača.
Možnosti moderných počítačov udivujú tú najplodnejšiu predstavivosť. Sú schopné vykonávať niekoľko úloh paralelne, ktorých zložitosť je pomerne vysoká. Niektorí výrobcovia preto uvažujú o vytvorení umelej inteligencie. Aj teraz sa práca počítača podobá na prácu inteligentného elektronického asistenta človeka.
Kto by si však pomyslel, že tento elektronický zázrak techniky charakterizujú choroby podobné tým ľudským. Aj jeho, rovnako ako človeka, môže napadnúť „vírus“, no počítačový. A ak neurobíte opatrenia, počítač čoskoro "ochorie" tj. začne vykonávať nesprávne činnosti alebo úplne „zomrie“. škody spôsobené "vírusom" budú veľmi vážne. Čo sú počítačové vírusy a ako sa s nimi vysporiadať, sa bude ďalej diskutovať.
POČÍTAČOVÉ VÍRUSY
Čo je to počítačový vírus?
Dnes existuje niekoľko hlavných typov škodlivého softvéru:
- klasický počítačový vírus;
- "Trójsky kôň" alebo trójsky kôň (troj);
- červ;
- špión alebo špión, keyloger
- rootkick;
- bot alebo zombie.
Kedysi to boli klasické vírusy, ktoré boli najrozšírenejšie – no ich tvorcovia si len zriedka stanovili konkrétny cieľ poškodiť koncového používateľa, ale skôr boli vytvorené na kognitívne účely. Dnešní autori vírusov sledujú absolútne jasné a zrozumiteľné ciele – peniaze a ich „potomkovia“ sa stali oveľa nebezpečnejšími ako ich predchodcovia. Dovoľte mi teda predstaviť najnebezpečnejších predátorov dnešného informačného priestoru – trójske kone a červy.
Trojan alebo troj dostal svoje meno podľa podobnosti medzi metódou infekcie a slávnym taktickým ťahom počas obliehania Tróje. Príklad infekcie trójskymi koňmi - dostanete list od istého "priateľa" s textom: - "Ahoj! Práve som sa vrátil z mora - tak som si oddýchol! Tu sú moje obrázky - pozri.", A priložené súbory s príponou „.JPG“. Tieto isté súbory sú trójskym koňom, v ktorého hĺbke sa skrýva škodlivý kód. Najbežnejšími zdrojmi infekcie sú e-mail, zoznamky, hudobné stránky a stránky so slobodným softvérom. Čo robí trójsky kôň? Jeho úlohou je spravidla otvárať cestu ďalším vírusom, pôsobiť ako prvá opora. Ako sa vyhnúť infekcii trójskym koňom? Všetko je tu ako v živote - chráňte sa a vyhýbajte sa náhodným spojeniam =). Toto pravidlo platí pre všetky vírusy a iný malvér. Ak vám bol odoslaný e-mail – pred prezretím priložených súborov skontrolujte odosielateľa, prílohu si uložte do počítača a skontrolujte antivírusom a až potom ju otvorte.
Červ alebo Červ je vlastnosťou týchto programov vo vývoji a autonómii. Keď sa červ dostane do počítača, zvyčajne napadne poštové programy a internetové pagery. Po získaní prístupu k pošte alebo pageru začne posielať listy / správy obsahujúce upravenú verziu seba samého. Potom sa buď sám zničí, alebo infikuje spustiteľné súbory (EXE, COM, BAT). Keďže sa vírus mení sám, je nezraniteľný, kým nie je detegovaný vo vašej antivírusovej databáze. Preto je dnes licencovaný antivírus absolútnou nevyhnutnosťou pre každého majiteľa PC.
Počítačový vírus je špeciálne napísaný malý program, ktorý sa môže „pripísať“ iným programom (to znamená „infikovať“ ich), ako aj vykonávať rôzne nežiaduce akcie v počítači. Program obsahujúci vírus sa nazýva infikovaný. Keď takýto program začne fungovať, vírus najprv prevezme kontrolu. Vírus nájde a „napadne“ iné programy a vykoná aj niektoré škodlivé akcie (napríklad poškodí súbory alebo tabuľku prideľovania súborov (FAT) na disku, „upchá“ RAM atď.). Ak chcete maskovať vírus, akcie na infikovanie iných programov a spôsobenie škody sa nemusia vykonať vždy, ale povedzme, keď sú splnené určité podmienky. Potom, čo vírus vykoná akcie, ktoré potrebuje, odovzdá riadenie programu, v ktorom sa nachádza, a funguje ako zvyčajne. Navonok teda práca infikovaného programu vyzerá rovnako ako neinfikovaného.
Mnoho typov vírusov je navrhnutých tak, že pri spustení infikovaného programu vírus zostáva v pamäti počítača a z času na čas infikuje programy a vykonáva nežiaduce akcie v počítači.
Všetky akcie vírusu je možné vykonať veľmi rýchlo a bez vydávania akýchkoľvek správ, preto je pre používateľa veľmi ťažké, takmer nemožné určiť, že sa v počítači deje niečo neobvyklé.
Pokiaľ je v počítači relatívne málo infikovaných programov, prítomnosť vírusu môže byť takmer neviditeľná. Po určitom čase sa však na počítači začne diať niečo zvláštne, napríklad:
- niektoré programy prestanú fungovať alebo začnú pracovať nesprávne;
- na obrazovke sa zobrazujú cudzie správy, symboly atď.;
- práca na počítači sa výrazne spomalí;
- niektoré súbory sú poškodené atď.
V tomto čase je už spravidla veľa (alebo dokonca väčšina) technických programov, s ktorými pracujete, infikovaných vírusom a niektoré súbory a disky sú poškodené. Navyše infikované programy z vášho počítača už mohli byť prenesené pomocou diskiet alebo lokálnej siete do počítačov vašich kolegov a priateľov.
Niektoré vírusy sú veľmi záludné. Najprv neviditeľne infikujú veľké množstvo programov a diskov a potom spôsobia veľmi vážne škody, napríklad naformátujú celý pevný disk v počítači, samozrejme, potom je jednoducho nemožné obnoviť údaje. A existujú vírusy, ktoré sa správajú veľmi nenápadne a postupne kazia údaje na pevnom disku alebo posúvajú tabuľku prideľovania súborov (FAT).
Ak teda neprijmete opatrenia na ochranu pred vírusom, následky infekcie môžu byť veľmi vážne. Napríklad začiatkom roku 1989. Vírus, ktorý napísal americký študent Morris, infikoval a znefunkčnil tisíce počítačov vrátane tých, ktoré patria americkému ministerstvu obrany. Autora vírusu súd odsúdil na tri mesiace väzenia a pokutu 270-tisíc dolárov. Trest mohol byť prísnejší, no súd prihliadol na to, že vírus nekazil dáta, len sa premnožil.
Aby bol program-vírus neviditeľný, musí mať malú veľkosť. Preto sú vírusy zvyčajne napísané v jazykoch assembleru alebo príkazoch jazyka C na nízkej úrovni.
Vírusy píšu skúsení programátori alebo študenti jednoducho zo zvedavosti alebo aby sa pomstili niekomu alebo podniku, ktorý s nimi zaobchádzal nevhodne alebo na komerčné alebo cielené sabotážne účely. Nech už autor sleduje akékoľvek ciele, vírus môže skončiť vo vašom počítači a pokúsi sa vykonať rovnaké škodlivé akcie ako ten, pre ktorého bol vytvorený.
Treba poznamenať, že napísanie vírusu nie je taká náročná úloha, celkom prístupná pre študenta, ktorý študuje programovanie. Preto sa vo svete objavuje každý týždeň viac a viac vírusov. A mnohé z nich sa vyrábajú aj u nás.
Poškodené a infikované súbory
Počítačový vírus sa môže pokaziť, t.j. nesprávne upraviť akýkoľvek súbor na diskoch vášho počítača. Vírus však môže „infikovať“ niektoré typy súborov. To znamená, že do týchto súborov môže „preniknúť“ vírus, t.j. upravte ich tak, aby obsahovali vírus, ktorý za určitých okolností môže začať fungovať.
Treba si uvedomiť, že texty programov a dokumentov, informačné súbory databáz, tabuľky tabuľkových procesorov a iné podobné súbory nemožno infikovať bežným vírusom, môže ich len pokaziť. Takéto súbory môžu byť infikované iba makrovírusmi. Tieto vírusy môžu dokonca infikovať vaše dokumenty.
Zavádzač operačného systému a hlavný zavádzací záznam pevného disku. Vírusy, ktoré infikujú tieto oblasti, sa nazývajú boot vírusy alebo BOOT vírusy. Takýto vírus začína svoju prácu, keď sa počítač spustí a stane sa rezidentným, t.j. sa nachádza v pamäti počítača. Distribučný mechanizmus - infekcia bootovacích záznamov diskiet vložených do počítača. Takéto vírusy sa často skladajú z dvoch častí, pretože bootovací záznam je malý a ťažko sa do nich zmestí celý vírusový program. Časť vírusu sa nachádza v inej časti disku, napríklad na konci koreňového adresára disku alebo v klastri v dátovej oblasti disku (zvyčajne sa takýto klaster vyhlási za chybný, aby zabrániť prepísaniu vírusu pri zápise dát).
Súbory ovládačov zariadení, na ktoré sa odkazuje v klauzule DEVICE súboru CONFIG.SYS. Vírus v nich začína svoju prácu pri každom prístupe k príslušnému zariadeniu. Vírusy, ktoré infikujú ovládače zariadení, sú veľmi zriedkavé, pretože ovládače sa zriedka prepisujú z jedného počítača do druhého. To isté platí pre systémové súbory DOS (MSDOS.SYS a IO.SYS) - ich infekcia je tiež teoreticky možná, ale je neúčinná na šírenie vírusu.
Typicky môže každý konkrétny typ vírusu infikovať iba jeden alebo dva typy súborov. Najbežnejšie vírusy sú tie, ktoré infikujú spustiteľné súbory. Boot vírusy sú na druhom mieste z hľadiska prevalencie. Niektoré vírusy infikujú súbory aj bootovacie oblasti disku. Vírusy, ktoré infikujú ovládače zariadení, sú extrémne zriedkavé a zvyčajne môžu infikovať aj spustiteľné súbory.
Klasifikácia vírusov
Vírusy možno rozdeliť do tried podľa rôznych kritérií. Napríklad na základe zrady:
Vírusy, ktoré okamžite infikujú počítač, naformátujú pevný disk, pokazia tabuľku prideľovania súborov, pokazia zavádzacie sektory, vymažú takzvanú Flash ROM (kde sa nachádza BIOS) počítača (vírus Černobyľ), inými slovami, spôsobujú neopraviteľné čo najskôr poškodiť počítač. Patria sem aj výsledky sťažností programátorov vírusov na antivírusové programy. Ide o takzvané alergie na niektoré antivírusové programy. Tieto vírusy sú dostatočne zradné. Napríklad alergia na Dr.Webera pri volaní tohto programu bez váhania zablokuje antivírus, pokazí všetko, čo je v adresári s antivírusom a C: WINDOWS. V dôsledku toho musíte preinštalovať operačný systém a potom bojovať proti vírusu inými prostriedkami.
- vírusy navrhnuté pre dlhú životnosť v počítači. Postupne a opatrne infikujú program za programom, bez reklamy na svoju prítomnosť a nahrádzajú oblasti štartu programu odkazy na miesto, kde sa nachádza telo vírusu. Navyše spôsobia zmenu v štruktúre disku pre používateľa nepostrehnuteľnou, čo sa prejaví až pri beznádejnej strate niektorých údajov (napríklad vírus „OneHalf-3544“, „Yankey-2C“).
Separáciu je možné vykonať aj na základe prenosových a reprodukčných metód.
Predtým vírusy infikovali hlavne len spustiteľné súbory (s príponami .com a.exe). Koniec koncov, vírus je program a musí sa spustiť.
Vírusy sa teraz posielajú e-mailom ako ukážkové programy alebo ako obrázky, napríklad ak ste dostali súbor „PicturesForYou.jpg“ e-mailom, neponáhľajte sa s jeho sledovaním, najmä preto, že prišiel odnikiaľ. Ak sa pozriete na názov bližšie, ukáže sa, že má o 42 viac medzier a skutočnú príponu .exe. To znamená, že skutočný úplný názov súboru bude takýto:
"PicturesForYou.jpg .exe". Teraz už každý chápe, čo tento obrázok v skutočnosti nesie. Toto nie je súbor s obrázkom, ktorý po aktivácii zavolá prehliadač obrázkov, ale drzý, mierne zahalený vírus, ktorý len čaká na aktiváciu kliknutím myši alebo stlačením klávesu. Takýto vírus si stiahnete do počítača pod škrupinou nejakého obrázka ako „trójsky kôň“. Odtiaľ pochádza slangový výraz pre vírusy, ako sú trójske kone.
V súčasnosti existujú také informačné kanály ako Internet Explorer, Outlook Express, Microsoft Office. Teraz existuje niekoľko tried takzvaných „makrovírusov“. Obsahujú skryté príkazy pre dáta shellu, ktoré sú pre bežného užívateľa nežiaduce. A tento kód už nie je kódom pre počítač, to znamená, že to už nie je program, ale text programu vykonávaného shellom. Môže byť teda napísaný v akomkoľvek požadovanom formáte: .html, .htm - pre Internet Explorer, .doc, .xls, .xlw, .txt, .prt, alebo v akomkoľvek inom - pre Microsoft Office atď. Takéto vírusy škodia len určitého charakteru, pretože shell nemá žiadne príkazy, napríklad na formátovanie pevného disku. Napriek tomu si tento typ vírusov zaslúži pozornosť, pretože pomocou skrytých hypertextových odkazov je schopný nezávisle stiahnuť telo vírusu z internetu do vášho počítača a niektoré vírusy sú schopné aktualizovať a čiastočne sťahovať cez internet z určitých serverov. Napríklad jeden z japonských študentov vyvinul práve taký vírus, ktorý spája malý „sťahovač“ s ľubovoľným formátom vstupu z internetu. Ďalej tento downloader sťahuje telá vírusov z internetu zo servera s IP adresou Babilon5. Tieto telá sú štyri. Každý z nich je schopný nezávisle zničiť váš počítač, ale má špecifický účel. Tento vírus je hybridom medzi makrovírusmi a bežnými vírusmi. Treba však poznamenať, že najodolnejšie, najprefíkanejšie, najnebezpečnejšie a najpočetnejšie medzi vírusmi sú hybridy. Pomerne nedávno sa prevalil škandál okolo programátora, ktorý podľa odborníkov vytvoril a začal šíriť makrovírus, ktorý infikoval textové súbory pre Microsoft Word. Počítal sa podľa dátumu a času vytvorenia pôvodného dokumentu, ktorý je uložený v neviditeľných častiach .doc súborov. Je možné, že súbor vytvorila iná osoba predtým, ako sa k nemu pripojil vírus, potom otázka o útočníkovi zostáva otvorená. Odborníci však tvrdia, že je to tak.
Napríklad vírus Win32.HLLM.Klez. jedna z odrôd nebezpečného sieťového červa sa šíri posielaním svojich kópií e-mailom. Okrem toho sa tento červ môže šíriť po lokálnej sieti a infikovať počítače, ktorých disky sú zdieľané sieťové zdroje, ktoré sú k dispozícii na zápis. Keď sa červ dostane do systému, odošle sa na adresy nájdené v adresári Windows, v databáze ICQ a v lokálnych súboroch. Infikované správy odosielané týmto červom využívajú jednu z pomerne známych chýb v bezpečnostnom systéme Internet Explorer, ktorá umožňuje automatické spustenie programového súboru (s vírusom) pripojeného k správe pri jednoduchom prezeraní pošty v programe Outlook a Outlook Express. .
Skúsme zvážiť metódy kamufláže a ochrany, ktoré používajú vírusy proti nám bežným používateľom a antivírusovým programom.
Zrada je hlavný a najrýchlejší spôsob, ako urobiť špinavý trik predtým, ako bude odhalený. Vírus Černobyľ napríklad úplne vymaže systém BIOS (spúšťací program umiestnený v čipe ROM, vďaka ktorému funguje počítač). Potom už počítač nebude môcť zobraziť vôbec nič. Jeho práca sa však ľahko zablokuje, ak je vo vnútri počítača nainštalovaný prepínač, ktorý zakazuje zapisovanie do oblasti ROM. Bol to teda prvý, ale ako si myslím, aj posledný zástupca hardvérových vírusov.
Regeneračné vírusy rozdeľujú svoje telo na niekoľko častí a ukladajú ich na rôzne miesta na pevnom disku. V súlade s tým sa tieto časti dokážu navzájom nezávisle nájsť a zostaviť na regeneráciu tela vírusu. Antivírusový program deteguje a zabíja iba telo vírusu a časti tohto tela nie sú zahrnuté v antivírusovej databáze, pretože sú upravené. Proti takýmto vírusom pomáha cielené nízkoúrovňové formátovanie pevného disku. Predtým musíte urobiť starostlivé opatrenia na uchovanie informácií.
Sly vírusy sa skrývajú nielen pred nami, ale aj pred antivírusovými programami. Títo „chameleóni“ sa upravujú pomocou tých najprefíkanejších a najzložitejších operácií, pričom využívajú ako aktuálne dáta (čas vytvorenia súboru), tak aj takmer polovicu celej sady inštrukcií procesora. V určitom okamihu sa, samozrejme, podľa prefíkaného algoritmu zmenia na záludný vírus a začnú sa zaoberať naším počítačom. Ide o najťažšie detekovateľný typ vírusu, ale niektoré antivírusové programy, ako napríklad "Dr. Weber", sú schopné detekovať a neutralizovať podobné vírusy pomocou takzvanej heuristickej analýzy.
„Neviditeľné“ vírusy používajú takzvanú metódu „Stelth“, aby zabránili ich odhaleniu. Spočíva v tom, že vírus sídliaci v pamäti zachytí volania DOSu (a tým aj aplikačných programov) infikovaných súborov a oblastí disku a zobrazí ich v pôvodnej (neinfikovanej) podobe. Tento efekt je samozrejme pozorovaný len na infikovanom počítači – na „čistom“ počítači sa dajú ľahko zistiť zmeny v súboroch a bootovacích oblastiach disku. Niektoré antivírusové programy však dokážu odhaliť neviditeľné vírusy aj na infikovaných počítačoch.
Sieťový červ Randon sa objavil v marci 2003. Šíri sa cez IRC kanály a lokálne sieťové zdroje a infikuje počítače s operačnými systémami Windows 2000 a Windows XP. Aby prenikol do počítača, pripojí sa k lokálnej sieti alebo IRC serveru, prehľadá používateľov na ňom, nadviaže s nimi spojenie na porte 445 a pokúsi sa uhádnuť heslo zo vstavaného zoznamu najčastejšie používaných fráz. Ak je systém úspešne kompromitovaný, Random odošle do systému trójskeho koňa Apher, ktorý následne stiahne zvyšné komponenty červa zo vzdialenej webovej lokality. Potom "Randon" nainštaluje svoje komponenty do systémového adresára Windows, zaregistruje svoj hlavný súbor. Na skrytie prítomnosti v pamäti využíva špeciálnu utilitu „HideWindows“, ktorá je tiež súčasťou červa. Vďaka nemu je pre používateľa neviditeľný, takže aktívny proces „Randon“ je možné zistiť iba v Správcovi úloh systému Windows. Jeho vedľajšie účinky sú vytváranie veľkého množstva nadmernej prevádzky na infikovanom počítači a pretečenie IRC kanálov.
Podľa Kaspersky Lab, jedného z popredných vývojárov antivírusových programov, poskytuje prehľad vírusovej aktivity za marec 2003 (tabuľka 2 a obr. 1)
Top 20 najbežnejších škodlivých programov
Tab. 2
Názov Podiel na celkovom počte vírusových incidentov (%)
1. I-Worm.Klez 37,60%
2. I-Worm.Sobig 10,75%
3. I-Worm.Lentin 9,03 %
4. I-Worm.Avron 3,30%
5. Makro.Slovo 97. Teda 2,62 %
6. I-Worm. Tanatos 1,38 %
7. Makro. Word97.Marker 1,21 %
8. Worm.Win32.Opasoft 1,13%
9. I-Worm.Hybris 1,04 %
10. Win95.CIH 0,69 %
11. Worm.Win32.Randon 0,58%
12. VBS.Redlof 0,57 %
13. Backdoor.Death 0,51%
14. Win95.Spaces 0,51%
15. I-Worm.Roron 0,49%
16.Trojan.PSW.Gip 0,49 %
17. Backdoor.NetDevil 0,48%
18. Win32.HLLP.Hantaner 0,45 %
19. TrojanDropper.Win32.Delf 0,42 %
20. TrojanDropper.Win32.Yabinder 0,41%
Iný malvér * 26,33 %
* nezahrnuté v 20 najbežnejších
PREVENCIA A BOJ PROTI POČÍTAČOVÝM VÍRUSOM
Základné metódy ochrany pred počítačovými vírusmi
Na ochranu pred vírusmi môžete použiť:
- Všeobecné nástroje na ochranu informácií, ktoré sú užitočné aj ako poistenie proti fyzickému poškodeniu diskov, nesprávne fungujúcim programom alebo chybným činnostiam používateľov;
- preventívne opatrenia na zníženie pravdepodobnosti nákazy počítačovým vírusom;
- špecializované programy na ochranu pred vírusmi.
-Všeobecné nástroje informačnej bezpečnosti sú užitočné nielen na ochranu pred vírusmi. Existujú dva hlavné typy týchto nápravných opatrení:
kopírovanie informácií - vytváranie kópií súborov a systémových oblastí diskov;
vymedzenie prístupu zabraňuje neoprávnenému použitiu informácií, najmä ochranu pred zmenami programov a údajov vírusmi, nefunkčnosťou programov a chybným konaním používateľov.
Všeobecné nástroje informačnej bezpečnosti sú síce veľmi dôležité na ochranu pred počítačovými vírusmi, ale nestačia. Na ochranu pred počítačovými vírusmi je potrebné používať špecializované programy. Tieto programy možno rozdeliť do niekoľkých typov:
Detekčné programy dokážu zistiť súbory infikované jedným z niekoľkých známych vírusov.
Programy - lekári, alebo fágovia, "liečia vírusy" infikované programy alebo disky, "vyhryzú" telo vírusu z infikovaných programov, t.j. obnovenie programu do stavu, v ktorom bol pred infekciou vírusom.
Programy – audítori si najskôr zapamätajú informácie o stave programov a systémových oblastí diskov a následne ich stav porovnajú s pôvodným. Ak sa zistia nezrovnalosti, používateľ je o tom informovaný.
Lekári - audítori sú kríženci audítorov a lekárov, t.j. programy, ktoré nielen detegujú zmeny v súboroch a systémových oblastiach diskov, ale dokážu ich automaticky vrátiť do pôvodného stavu.
Programy – filtre sú umiestnené v RAM počítača a zachytávajú tie hovory operačného systému, ktoré využívajú vírusy na množenie a poškodzovanie, a hlásia ich používateľovi. Používateľ môže povoliť alebo zakázať príslušnú operáciu.
Programy - vakcíny, prípadne imunizátory, upravujú programy a disky tak, že to neovplyvní chod programov, ale vírus, z ktorého sa očkovanie vykonáva, považuje tieto programy a disky za už infikované. Tieto programy sú vysoko neúčinné a ďalej sa o nich neuvažuje.
Žiaľ, žiadny typ antivírusového softvéru neposkytuje úplnú ochranu pred počítačovými vírusmi. Najlepšou stratégiou na ochranu pred vírusmi je preto viacúrovňová „echalonová“ obrana. Poďme si popísať štruktúru tejto obrany.
Spravodajské nástroje v „obrane“ proti vírusom zodpovedajú programom – detektorom, ktoré umožňujú kontrolovať novoprijatý softvér na prítomnosť vírusov.
V popredí obrany sú filtračné programy (rezidentné programy na ochranu pred vírusmi). Tieto programy môžu ako prvé nahlásiť vírusový útok a zabrániť infekcii programov a disku.
Druhý stupeň obrany tvoria programy auditu, programy lekárov a lekári-audítori. Skúšajúci zistia útok aj vtedy, keď sa vírusu podarilo „preniknúť“ cez predné línie obrany. Programy Doctor sa používajú na obnovenie infikovaných programov, ak ich kópie nie sú v archíve. Ale nie vždy sa k nim správajú správne. Lekári-inšpektori zistia napadnutie vírusom a liečia vírusy - infikované súbory a kontrolujú správnosť liečby vírusmi a ak nie je možné vírusy liečiť, určite odporúčajú odstránenie vírusov (infikovaných súborov).
Najhlbším stupňom obrany je prostriedok na diferenciáciu prístupu. Zabraňujú vírusom a nefunkčným programom, aj keď sa dostali do vášho počítača, pokaziť dôležité údaje.
A napokon „strategická rezerva“ obsahuje archivované kópie informácií a „referenčné“ diskety so softvérovými produktmi. Umožňujú vám obnoviť informácie, ak sú poškodené na pevnom disku.
Programy - detektory a lekári
Vo väčšine prípadov je možné nájsť už vyvinuté detekčné programy na detekciu vírusu, ktorý infikoval počítač. Tieto programy kontrolujú, či súbory na jednotke určenej používateľom obsahujú kombináciu bajtov špecifickú pre vírusy. Ak sa nájde v akomkoľvek súbore, na obrazovke sa zobrazí príslušná správa. Mnohé detektory majú režim protivírusovej liečby alebo odstraňovania vírusov.
Je potrebné poznamenať, že program detektora dokáže detekovať iba tie vírusy, ktoré sú mu známe (t. j. zapísané v antivírusovej databáze tohto programu).
Jedným z týchto programov je Kaspersky's KIS.
Všetko v ňom má pohodlné a intuitívne rozhranie. Program je určený pre operačný systém Windows XP a Windows Vista, čo mu umožňuje pracovať paralelne s inými aplikáciami. Kaspersky Lab je ruským lídrom vo vývoji antivírusových bezpečnostných systémov.
Existuje aj AVAST.
Sú to osvedčení obrancovia vášho počítača – liečba väčšiny vírusov a odstránenie vírusov v prípade ich kritického ohrozenia alebo nevyliečiteľnosti.
Väčšina programov detektorov má aj funkciu "doktor", t.j. sa pokúšajú vrátiť infikované súbory a oblasti disku do pôvodného stavu - vyčistiť vírusy. Súbory, ktoré nebolo možné dezinfikovať, sú zvyčajne nefunkčné alebo odstránené.
Prevencia proti vírusovej infekcii
Pozrime sa na niektoré opatrenia, ktoré môžete podniknúť na zníženie pravdepodobnosti napadnutia počítača vírusom, ako aj na minimalizáciu škôd spôsobených vírusovou infekciou, ak k nej dôjde.
1. Bolo by pekné mať a v prípade potreby aktualizovať archivované a kmeňové kópie používaných softvérových balíkov a dát. Pred zálohovaním dát je vhodné skontrolovať, či sa v nich nenachádzajú vírusy.
2. Odporúča sa tiež skopírovať servisné informácie vášho disku (FAT, zavádzacie sektory) a CMOS (energetická pamäť počítača) na diskety. Tieto informácie môžete zálohovať a obnoviť pomocou programu Rescue v softvérovom balíku Norton Utilities.
3. Na archívnych disketách by ste mali nastaviť ochranu proti zápisu.
4. Nemali by ste sa zapájať do nelicencovaného a nelegálneho kopírovania softvéru z iných počítačov. Môžu mať na sebe vírus.
5. Všetky dáta prichádzajúce zvonka by sa mali kontrolovať na prítomnosť vírusov, najmä súbory „stiahnuté“ z internetu.
6. Na diskety s ochranou proti zápisu je potrebné vopred pripraviť balík obnovy.
7. Pri bežnej práci, ktorá nesúvisí s obnovou počítača, sa oplatí vypnúť bootovanie z diskety. Predídete tak infekcii boot vírusom.
8. Používajte programy - filtre na včasnú detekciu vírusov.
9. Pravidelne kontrolujte disk softvérovými detektormi alebo lekármi - detektormi alebo audítormi, aby ste odhalili prípadné zlyhania v obrane.
10. Aktualizujte databázu antivírusových programov.
11. Držte pochybných používateľov mimo vášho počítača.
ZÁVER
Na záver by som chcel varovať pred príliš horlivým bojom proti počítačovým vírusom. Spustenie úplnej kontroly vírusov na pevnom disku každý deň tiež nie je skvelým krokom v prevencii infekcií. Jediný civilizovaný spôsob ochrany pred vírusmi vidím v dodržiavaní preventívnych opatrení pri práci na počítači. A tiež sa musíte uchýliť k pomoci špecialistov v boji proti počítačovému vírusu. Navyše, aj keď vírus prenikne do vášho počítača, nie je dôvod na paniku.
Hlavným problémom internetu často nie sú vírusy a hackeri, ale taký rozšírený fenomén, akým je počítačová negramotnosť. Použitie analógie Kaspersky, neznalosť pravidiel cestnej premávky. Ľudia, ktorí sa nedávno naučili prijímať a odosielať poštu, démonizujú počítačové vírusy a takmer si ich predstavujú ako neviditeľné čierne červy lezúce po drôtoch. Tu je niekoľko jednoduchých pravidiel, ktoré môžete dodržiavať, aby ste sa vyhli infekcii vírusmi. Po prvé: neboja sa počítačových vírusov, všetky sú liečiteľné. Po druhé: uviesť Microsoft Outlook do režimu fungovania v zóne obmedzených stránok, čo mu zabráni v automatickom spúšťaní určitých programov - základný princíp šírenia počítačových vírusov. Po tretie: neotvárajte listy od podozrivých príjemcov. Po štvrté: použite nový, a čo je dôležitejšie, LICENCOVANÝ antivírus.
Pomer strán 1440 x 900
Rozlíšenia obrazovky monitora
Kedy potrebujem aktualizovať firmvér
Ako premeniť smartfón s Androidom na bezpečnostnú kameru
Ako vyzerá čínska klávesnica (história a fotografie)