Вредоносные программы и вирусы. Какие компьютерные вирусы существуют? Методы борьбы

• информацию о загрузочных секторах;

• информацию о сбойных кластерах;

• длину и контрольные суммы файлов;

• дату и время создания файлов.

• оснастите свой компьютер современными антивирусными программами, например Aidstest или Doctor Web, и постоянно обновляйте их версии;

• перед считыванием с дискет информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы своего компьютера;

• при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;

• периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему также с защищенной от записи системнойдискеты;

• всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производиться запись информации;

• обязательно делайте архивные копии на дискетах ценной для вас информации;

• не оставляйте в кармане дисковода А: дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами;

• используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей;

• для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска ADinf.

Алгоритм работы файлового вируса

Получив управление, вирус совершает следующие действия (приведен список наиболее общих действий вируса при его выполнении; для конкретного вируса список может быть дополнен, пункты могут поменяться местами и значительно расшириться):

 резидентный вирус проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена. Нерезидентный вирус ищет незараженные файлы в текущем и (или) корневом оглавлении, в оглавлениях, отмеченных командой PATH, сканирует дерево каталогов логических дисков, а затем заражает обнаруженные файлы;

 выполняет, если они есть, дополнительные функции: деструктивные действия, графические или звуковые эффекты и т.д. Дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации в зависимости от текущего времени, конфигурации системы, внутренних счетчиков вируса или других условий; в этом случае вирус при активизации обрабатывает состояние системных часов, устанавливает свои счетчики и т.д.;

Метод восстановления программы в первоначальном виде зависит от способа заражения файла. Если вирус внедряется в начало файла, то он либо сдвигает коды зараженной программы на число байт, равное длине вируса, либо перемещает часть кода программы из ее конца в начало, либо восстанавливает файл на диске, а затем запускает его. Если вирус записался в конец файла, то при восстановлении программы он использует информацию, сохраненную в своем теле при заражении файла. Это может быть длина файла, несколько байт начала файла в случае COM-файла или несколько байтов заголовка в случае EXE-файла. Если же вирус записывается в середину файла специальным образом, то при восстановлении файла он использует еще и специальные алгоритмы.

Загрузочные вирусы

Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.

В случае дискеты или компакт-диска управление получает boot-сектор, который анализирует таблицу параметров диска (BPB - BIOS Parameter Block) высчитывает адреса системных файлов операционной системы, считывает их в память и запускает на выполнение. Если же на загрузочном диске отсутствуют файлы операционной системы, программа, расположенная в boot-секторе диска выдает сообщение об ошибке и предлагает заменить загрузочный диск.

В случае винчестера управление получает программа, расположенная в MBR винчестера. Эта программа анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска C:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор внешнего носителя.

При заражении дисков загрузочные вирусы подставляют свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус заставляет систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.

Заражение дискет производится единственным известным способом - вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами - вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в Disk Partition Table, расположенной в MBR винчестера.

При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска. Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах.

Существует несколько вариантов размещения на диске первоначального загрузочного сектора и продолжения вируса: в сектора свободных кластеров логического диска, в неиспользуемые или редко используемые системные сектора, в сектора, расположенные за пределами диска.

Если продолжение вируса размещается в секторах, которые принадлежат свободным кластерам диска (при поиске этих секторов вирусу приходится анализировать таблицу размещения файлов - FAT), то, как правило, вирус помечает в FAT эти кластеры как сбойные (так называемые псевдосбойные кластеры). Этот способ используется вирусами “Brain”, “Ping-Pong” и некоторыми другими.

В вирусах семейства “Stoned” задействован другой метод. Эти вирусы размещают первоначальный загрузочный сектор в неиспользуемом или редко используемом секторе - в одном из секторов винчестера (если такие есть), расположенных между MBR и первым boot-сектором, а на дискете такой сектор выбирается из последних секторов корневого каталога.

Некоторые вирусы записывают свой код в последние сектора винчестера, поскольку эти сектора используются только тогда, когда винчестер полностью заполнен информацией (что является довольно редким явлением, если учесть размеры современных дисков). Реже используется метод сохранения продолжения вируса за пределами диска. Достигается это двумя способами. Первый сводится к уменьшению размеров логических дисков: вирус вычитает необходимые значения из соответствующих полей BPB boot-сектора и Disk Partition Table винчестера (если заражается винчестер), уменьшает размер логического диска и записывает свой код в “отрезанные” от него сектора.

Второй способ - запись данных за пределами физического разбиения диска. Существуют вирусы, записывающие свой код за пределами доступного пространства винчестера, если, разумеется, это допускается установленным оборудованием.

Конечно, существуют и другие методы размещения вируса на диске, например, вирусы семейства “Azusa” содержат в своем теле стандартный загрузчик MBR и при заражении записываются поверх оригинального MBR без его сохранения.

При заражении большинство вирусов копирует в код своего загрузчика системную информацию, хранящуюся в первоначальном загрузчике (для MBR этой информацией является Disk Partition Table, для Boot-сектора дискет - BIOS Parameter Block). В противном случае система окажется неспособной загрузить себя, поскольку дисковые адреса компонент системы высчитываются на основе этой информации. Такие вирусы довольно легко удаляются переписыванием заново кода системного загрузчика в boot-секторе и MBR - для этого необходимо загрузиться с незараженной системной дискеты и использовать команды SYS для обезвреживания дискет и логических дисков винчестера или FDISK/MBR для лечения зараженного MBR-сектора.

Однако некоторые 100%-стелс вирусы не сохраняют эту информацию или даже более того - преднамеренно шифруют ее. При обращении системы или других программ к зараженным секторам вирус подставляет их незараженные оригиналы, и загрузка системы происходит без каких-либо сбоев, однако лечение MBR при помощи FDISK/MBR в случае такого вируса приводит к потере информации о разбиении диска (Disk Partition Table). В этом случае диск нужно переформатировать с потерей всей информации или восставить Disk Partition Table “вручную’, что требует определенной квалификации.

Следует также отметить тот факт, что загрузочные вирусы очень редко уживаются вместе на одном диске - часто они используют одни и те же дисковые сектора для размещения своего кода/данных. В результате код/данные первого вируса оказываются испорченными при заражении вторым вирусом, и система либо зависает при загрузке, либо зацикливается (что также приводит к ее зависанию).

Пользователям новых операционных систем загрузочные вирусы также могут доставить неприятности. Несмотря на то, что перечисленные выше системы работают с дисками напрямую (минуя вызовы BIOS), что блокирует вирус и делает невозможным дальнейшее его распространение, код вируса все-таки, хоть и очень редко, получает управление при перезагрузке системы. Поэтому вирус “March6”, например, может годами “жить” в MBR сервера и никак не влиять при этом на работу и производительность компьютерной системы. Однако при случайной перезагрузке 6-го марта этот вирус полностью уничтожит все данные на диске.

Алгоритм работы загрузочного вируса

Практически все загрузочные вирусы резидентны. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т.е. на вирус) управление. После этого начинают выполняться инструкции вируса:

 как правило, уменьшает объем свободной памяти, копирует в освободившееся место свой код и считывает с диска свое продолжение (если оно есть). В дальнейшем некоторые вирусы “ждут” загрузки операционной системы и восстанавливают размер памяти в первоначальное значение. В результате они оказываются расположенными не за пределами операционной системы, а как отдельные блоки памяти, выделяемые под систему.

 перехватывает необходимые вектора прерываний (обычно INT 13H), считывает в память оригинальный boot-сектор и передает на него управление.

В дальнейшем загрузочный вирус ведет себя так же, как резидентный файловый: перехватывает обращения операционной системы к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия или вызывает звуковые или видеоэффекты.

Существуют нерезидентные загрузочные вирусы - при загрузке они заражают MBR винчестера и внешних носителей, если те присутствуют в дисководах. Затем такие вирусы передают управление оригинальному загрузчику и на работу компьютера больше не влияют.

Макро-вирусы

Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы), анимации и т.д. Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office. Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных Microsoft Access, Flash-анимацию. На сегодняшний день известно множество систем, для которых существуют макро-вирусы. В этих системах вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение.

Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макроязыка с возможностями:

 привязки программы на макроязыке к конкретному файлу;

 копирования макропрограмм из одного файла в другой;

 возможность получения управления макро-программой без вмешательства пользователя (автоматические или стандартные макросы).

Данным условиям удовлетворяют редакторы Microsoft Word, Office и AmiPro, а также электронная таблица Excel и база данных Microsoft Access. Эти системы содержат в себе макроязыки: Word, Excel, Access, Office - Visual Basic for Applications. При этом:

 макропрограммы привязаны к конкретному файлу (AmiPro) или находятся внутри файла (Word, Excel, Office);

 макроязык позволяет копировать файлы (AmiPro) или перемещать макропрограммы в служебные файлы системы и редактируемые файлы (Word, Excel, Office);

 при работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макропрограммы (если таковые есть), которые определены специальным образом (AmiPro) или имеют стандартные имена (Word, Excel, Office).

Данная особенность макроязыков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый “автоматизированный документооборот”. С другой стороны, возможности макроязыков таких систем позволяют вирусу переносить свой код в другие файлы, и таким образом заражать их.

Физическое расположение вируса внутри файла зависит от его формата, который в случае продуктов Microsoft чрезвычайно сложен - каждый файл-документ Word или таблица Excel представляют собой последовательность блоков данных (каждый из которых также имеет свой формат), объединенных между собой при помощи большого количества служебных данных. Этот формат носит название OLE2 - Object Linking and Embedding.

Большинство известных вирусов для Word несовместимы с национальными (в том числе с русской) версиями Word, или наоборот - рассчитаны только на локализованные версии Word и не работают под другой языковой версией. Однако вирус в документе все равно остается активным и может заражать другие компьютеры с установленной на них соответствующей версией Word.

Вирусы для Word могут заражать компьютеры любого класса, а не только IBM PC. Заражение возможно в том случае, если на данном компьютере установлен текстовый редактор, полностью совместимый с Microsoft Word.

Следует также отметить, что сложность форматов документов Word, таблиц Excel и особенно Office имеет следующую особенность: в файлах-документах и таблицах присутствуют “лишние” блоки данных, т.е. данные, которые никак не связаны с редактируемым текстом или таблицами, либо являются случайно оказавшимися там копиями прочих данных файла. Причиной возникновения таких блоков данных является кластерная организация данных в OLE2-документах и таблицах - даже если введен всего один символ текста, то под него выделяется один или даже несколько кластеров данных. При сохранении документов и таблиц в кластерах, не заполненных “полезными” данными, остается “мусор”, который попадает в файл вместе с прочими данными.

Следствием этого является тот факт, что при редактировании документа его размер изменяется вне зависимости от производимых с ним действий - при добавлении нового текста размер файла может уменьшиться, а при удалении части текста - увеличиться. То же и с макро-вирусами: при заражении файла его размер может уменьшиться, увеличиться или остаться неизменным.

При работе с документом Word любой версии выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т.д. При этом Word ищет и выполняет соответствующие “встроенные макросы” - при сохранении файла по команде File/Save вызывается макрос FileSave, при сохранении по команде File/SaveAs - FileSaveAs, при печати документов - FilePrint и т.д., если, конечно, таковые макросы определены.

Существует также несколько “авто-макросов”, автоматически вызываемые при различных условиях. Например, при открытии документа Word проверяет его на наличие макроса AutoOpen. Если такой макрос присутствует, то Word выполняет его. При закрытии документа Word выполняет макрос AutoClose, при запуске Word вызывается макрос AutoExec, при завершении работы - AutoExit, при создании нового документа - AutoNew.

Похожие механизмы (но с другими именами макросов и функций) используются и в Excel/Office, в которых роль авто- и встроенных макросов, выполняют авто- и встроенные функции, присутствующие в каком-либо макросе или макросах, причем в одном макросе могут присутствовать несколько встроенных и авто-функций.

Автоматически (т.е. без участия пользователя) выполняются также макросы/функции, ассоциированные с какой-либо клавишей либо моментом времени или датой, т.е. Word/Excel вызывают макрос/функцию при нажатии на какую-либо конкретную клавишу (или комбинацию клавиш) либо при достижении какого-либо момента времени. В Office возможности по перехвату событий несколько расширены, но принцип используется тот же.

Макро-вирусы, поражающие файлы Word, Excel или Office, как правило, пользуются одним из трех перечисленных выше приемов - в вирусе либо присутствует авто-макрос (авто-функция), либо переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню), либо макрос вируса вызывается автоматически при нажатии на какую-либо клавишу или комбинацию клавиш. Существуют также полувирусы, которые не используют всех этих приемов и размножаются, только когда пользователь самостоятельно запускает их на выполнение.

Таким образом, если документ заражен, при открытии документа Word вызывает зараженный автоматический макрос AutoOpen (или AutoClose при закрытии документа) и, таким образом, запускает код вируса, если это не запрещено системной переменной DisableAutoMacros. Если вирус содержит макросы со стандартными именами, они получают управление при вызове соответствующего пункта меню (File/Open, File/Close, File/SaveAs). Если же переопределен какой-либо символ клавиатуры, то вирус активизируется только после нажатия на соответствующую клавишу.

Большинство макро-вирусов содержат все свои функции в виде стандартных макросов Word/Excel/Office. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не-макросов. Известно три подобных приема, все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой (иногда - полиморфный) макрос-загрузчик вируса, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает (чтобы скрыть следы присутствия вируса). Основной код таких вирусов присутствует либо в самом макросе вируса в виде текстовых строк (иногда - зашифрованных), либо хранится в области переменных документа или в области Auto-text.

Алгоритм работы Word макро-вирусов

Большинство известных Word-вирусов при запуске переносят свой код (макросы) в область глобальных макросов документа (“общие” макросы), для этого они используют команды копирования макросов MacroCopy, OrganizerCopy либо при помощи редактора макросов - вирус вызывает его, создает новый макрос, вставляет в него свой код, который и сохраняет в документе.

При выходе из Word глобальные макросы (включая макросы вируса) автоматически записываются в DOT-файл глобальных макросов (обычно таким файлом является NORMAL.DOT). Таким образом, при следующем запуске редактора MS-Word вирус активизируется в тот момент, когда WinWord грузит глобальные макросы, т.е. сразу.

Затем вирус переопределяет (или уже содержит в себе) один или несколько стандартных макросов (например, FileOpen, FileSave, FileSaveAs, FilePrint) и перехватывает, таким образом, команды работы с файлами. При вызове этих команд вирус заражает файл, к которому идет обращение. Для этого вирус конвертирует файл в формат Template (что делает невозможной дальнейшие изменения формата файла, т.е. конвертирование в какой-либо не-Template формат) и записывает в файл свои макросы, включая Auto-макрос.

Таким образом, если вирус перехватывает макрос FileSaveAs, то заражается каждый DOC-файл, сохраняемый через перехваченный вирусом макрос. Если перехвачен макрос FileOpen, то вирус записывается в файл при его считывании с диска.

Второй способ внедрения вируса в систему используется значительно реже - он базируется на так называемых “Add-in” файлах, т.е. файлах, являющихся служебными дополнениями к Word. В этом случае NORMAL.DOT не изменяется, а Word при запуске загружает макросы вируса из файла (или файлов), определенного как “Add-in”. Этот способ практически полностью повторяет заражение глобальных макросов за тем исключением, что макросы вируса хранятся не в NORMAL.DOT, а в каком-либо другом файле.

Возможно также внедрения вируса в файлы, расположенные в каталоге STARTUP, - Word автоматически подгружает файлы-темплейты из этого каталога.

Алгоритм работы Excel макро-вирусов

Методы размножения Excel-вирусов в целом аналогичны методам Word-вирусов. Различия заключаются в командах копирования макросов (например, Sheets.Copy) и в отсутствии NORMAL.DOT - его функцию (в вирусном смысле) выполняют файлы в STARTUP-каталоге Excel.

Полиморфные вирусы

К полиморфным вирусам относятся те из них, детектирование которых невозможно (или крайне затруднительно) осуществить при помощи так называемых вирусных масок - участков постоянного кода, специфичных для конкретного вируса. Достигается это двумя основными способами - шифрованием основного кода вируса с непостоянным ключом и случайным набором команд расшифровщика или изменением самого выполняемого кода вируса. Существуют также другие, достаточно экзотические примеры полиморфизма - DOS-вирус “Bomber”, например, не зашифрован, однако последовательность команд, которая передает управление коду вируса, является полностью полиморфной.

Полиморфизм различной степени сложности встречается в вирусах всех типов - от загрузочных и файловых DOS-вирусов до Windows-вирусов и даже макро-вирусов.

Полиморфные расшифровщики

Простейшим примером частично полиморфного расшифровщика является следующий набор команд, в результате применения которого ни один байт кода самого вируса и его расшифровщика не является постоянным при заражении различных файлов:

MOV reg_1, count ; reg_1, reg_2, reg_3 выбираются из

MOV reg_2, key ; AX,BX,CX,DX,SI,DI,BP

MOV reg_3, _offset ; count, key, _offset также могут меняться

xxx byte ptr , reg_2 ; xor, add или sub

Более сложные полиморфные вирусы используют значительно более сложные алгоритмы для генерации кода своих расшифровщиков: приведенные выше инструкции (или их эквиваленты) переставляются местами от заражения к заражению, разбавляются ничего не меняющими командами типа NOP, STI, CLI, STC, CLC, DEC неиспользуемый регистр, XCHG неиспользуемые регистры и т.д.

Полноценные же полиморфные вирусы используют еще более сложные алгоритмы, в результате работы которых в расшифровщике вируса могут встретиться операции SUB, ADD, XOR, ROR, ROL и другие в произвольном количестве и порядке. Загрузка и изменение ключей и других параметров шифровки производится также произвольным набором операций, в котором могут встретиться практически все инструкции процессора Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP ...) со всеми возможными режимами адресации.

В результате в начале файла, зараженного подобным вирусом, идет набор бессмысленных на первый взгляд инструкций, причем некоторые комбинации, которые вполне работоспособны, не берутся фирменными дизассемблерами (например, сочетание CS:CS: или CS:NOP). И среди этой “каши” из команд и данных изредка проскальзывают MOV, XOR, LOOP, JMP - инструкции, которые действительно являются “рабочими”.

Уровни полиморфизма

Существует деление полиморфных вирусов на уровни в зависимости от сложности кода, который встречается в расшифровщиках этих вирусов.

Уровень 1: вирусы, которые имеют некоторый набор расшифровщиков с постоянным кодом и при заражении выбирают один из них. Такие вирусы являются “полу-полиморфными” и носят также название “олигоморфные” (oligomorphic). Примеры: “Cheeba”, “Slovakia”, “Whale”.

Уровень 2: расшифровщик вируса содержит одну или несколько постоянных инструкций, основная же его часть непостоянна.

Уровень 3: расшифровщик содержит неиспользуемые инструкции – “мусор” типа NOP, CLI, STI и т.д.

Уровень 4: в расшифровщике используются взаимозаменяемые инструкции и изменение порядка следования (перемешивание) инструкций. Алгоритм расшифрования при этом не изменяется.

Уровень 5: используются все перечисленные выше приемы, алгоритм расшифрования непостоянен, возможно, повторное шифрование кода вируса и даже частичное шифрование самого кода расшифровщика.

Уровень 6: permutating-вирусы. Изменению подлежит основной код вируса - он делится на блоки, которые при заражении переставляются в произвольном порядке. Вирус при этом остается работоспособным. Подобные вирусы могут быть незашифрованны.

Приведенное выше деление не свободно от недостатков, поскольку производится по единственному критерию - возможность детектировать вирус по коду расшифровщика при помощи стандартного приема вирусных масок:

 Уровень 1: для детектирования вируса достаточно иметь несколько масок.

 Уровень 2: детектирование по маске с использованием “wildcards”.

 Уровень 3: детектирование по маске после удаления инструкций – “мусора”.

 Уровень 4: маска содержит несколько вариантов возможного кода, т.е. становится алгоритмической.

 Уровень 5: невозможность детектирования вируса по маске.

Недостаточность такого деления продемонстрирована в вирусе 3-го уровня полиморфичности, который так и называется – “Level3’. Этот вирус, являясь одним из наиболее сложных полиморфных вирусов, по приведенному выше делению попадает в Уровень 3, поскольку имеет постоянный алгоритм расшифровки, перед которым стоит большое количество команд- “мусора”. Однако в этом вирусе алгоритм генерирования “мусора” доведен до совершенства: в коде расшифровщика могут встретиться практически все инструкции процессора i8086.

Если произвести деление на уровни с точки зрения антивирусов, использующих системы автоматической расшифровки кода вируса (эмуляторы), то деление на уровни будет зависеть от сложности эмуляции кода вируса. Возможно детектирование вируса и другими приемами, например, расшифровка при помощи элементарных математических законов и т.д.

Изменение выполняемого кода

Наиболее часто подобный способ полиморфизма используется макро-вирусами, которые при создании своих новых копий случайным образом меняют имена своих переменных, вставляют пустые строки или меняют свой код каким-либо иным способом. Таким образом, алгоритм работы вируса остается без изменений, но код вируса практически полностью меняется от заражения к заражению.

Реже этот способ применяется сложными загрузочными вирусами. Такие вирусы внедряют в загрузочные сектора лишь достаточно короткую процедуру, которая считывает и диска основной код вируса и передает на него управление. Код этой процедуры выбирается из нескольких различных вариантов (которые также могут быть разбавлены “пустыми” командами), команды переставляются между собой и т.д.

Еще реже этот прием встречается у файловых вирусов - ведь им приходится полностью менять свой код, а для этого требуются достаточно сложные алгоритмы. На сегодняшний день известны всего два таких вируса, один из которых (“Ply”) случайным образом перемещает свои команды по своему телу и заменяет их на команды JMP или CALL. Другой вирус (“TMC”) использует более сложный способ - каждый раз при заражении вирус меняет местами блоки своего кода и данных, вставляет “мусор”, в своих ассемблерных инструкциях устанавливает новые значения смещений на данные, меняет константы и т.д. В результате, хотя вирус и не шифрует свой код, он является полиморфным вирусом - в коде не присутствует постоянного набора команд. Более того, при создании своих новых копий вирус меняет свою длину.

Статья, которую Вы сейчас читаете, посвящена проблемам восстановления данных в разделах файловой системы FAT, встречающихся на компьютерах с операционными системами MS-DOS и Microsoft Windows различных версий. Тем не менее, приведенные в ней сведения, касающиеся настройки параметров BIOS, а также некоторых структур диска, будут полезны и при восстановлении файлов в разделах файловой системы NTFS.

Как правило, попытки восстановления данных в разделе FAT начинаются с использования автоматических утилит. В тех случаях, когда утилиты автоматического восстановления не могут оказать Вам никакой помощи, можно попытаться выполнить эту работу вручную с помощью редактора диска. При этом, однако, Вам придется пользоваться редакторами диска и иметь дело с внутренними структурами файловой системы.

Мы поможем опытным пользователям проверить и восстановить файловую систему FAT при помощи программ Norton Disk Editor и Microsoft Disk Probe. Эти программы позволяют просматривать и редактировать содержимое отдельных секторов диска.

В ответственных случаях мы настоятельно рекомендуем не предпринимать самостоятельные попытки восстановления, а обращаться за помощью в службу DataRecovery.Ru. Если в процессе восстановления Вы допустите серьезную ошибку, данные могут быть потеряны навсегда. Так что пользуйтесь приведенными в статье рекомендациями, но на свой страх и риск!

Проверка состояния файловой системы FAT

С чего лучше начинать восстановление данных?

Восстановление файловой системы необходимо начинать с проверки параметров BIOS, а также состояния самой файловой системы. Можно предложить следующий план действий:

• проверка параметров BIOS;
• проверка содержимого главной загрузочной записи MBR (Master Boot Record) и загрузочной записи Boot Record;
• исследование таблицы размещения файлов FAT;
• проверка состояния каталогов;
• извлечение нужных файлов из поврежденной файловой системы.

Проверяя настройку параметров BIOS, следует обратить внимание на такие ключевые параметры, как типы установленных в компьютере жестких дисков, количество дорожек и секторов на одной дорожке. Если эти параметры установлены неправильно, загрузка операционной системы, скорее всего, будет невозможна.

Разрушение содержимого энергонезависимой памяти, хранящей параметры BIOS, может произойти, например, при выходе из строя аккумуляторной батареи, которая питает память, или в результате воздействия вируса.

Далее необходимо проверить содержимое так называемой главной загрузочной записи MBR (Master Boot Record). В этой записи есть программа начальной загрузки и таблица разделов диска Partition Table. Программа начальной загрузки является объектом атаки загрузочных и файлово-загрузочных вирусов, записывающих сюда свое тело. При повреждении таблицы разделов диска в результате вирусного заражения, неисправности аппаратуры или программного сбоя для операционной системы будут недоступны некоторые или все логические диски.

На следующем этапе Вы должны проверить загрузочную запись Boot Record, располагающуюся в самом начале логического диска (не путайте ее с главной загрузочной записью MBR). В загрузочной записи находится программа начальной загрузки операционной системы, расположенной на логическом диске, а также блок параметров BIOS с названием BPB (BIOS Parameter Block). Блок BPB содержит важную информацию о логическом диске, такую, например, как размер кластера. При повреждении BPB вирусом, а также в результате сбоя аппаратуры или программного обеспечения диск будет недоступен для операционной системы.

После выполнения проверки загрузочной записи следует заняться таблицей размещения файлов FAT. В этой таблице находится критически важная информация о расположении отдельных кластеров для всех записанных на данном логическом диске файлов. Всего имеется две копии таблицы FAT. Вы можете использовать любую копию FAT для восстановления файлов.

На следующем этапе нужно проверить корневые каталоги логических дисков, а также подкаталоги. При необходимости следует восстановить испорченные элементы каталогов, описывающие нужные Вам файлы.

Ниже мы подробно рассмотрим все эти действия. Попутно мы приведем необходимую информацию о важнейших внутренних структурах файловой системы FAT.

Проверка параметров BIOS

Когда Вы в первый раз подходите к компьютеру, возможно зараженному вирусом, необходимо вначале проверить параметры BIOS, хранящиеся в энергонезависимой памяти CMOS. Для просмотра и изменения параметров BIOS предназначена специальная программа с названием BIOS Setup.

Способ запуска программы BIOS Setup зависит от ее изготовителя и версии, однако, обычно запуск выполняется, если во время начального теста оперативной памяти нажать клавиши Delete, F2 или комбинацию клавиш Alt+Ctrl+Esc. Более точную информацию о способе запуска этой программы нетрудно получить из документации, прилагающейся к системной плате компьютера.

Выключите питание компьютера, если оно было включено, и через 20-30 секунд включите его опять. Такая процедура гарантированно уничтожает резидентные вирусы, "выживающие" после теплой перезагрузки с помощью комбинации клавиш Ctrl+Alt+Del.

Когда начнется тест памяти, нажмите одну из перечисленных выше клавиш для запуска программы BIOS Setup. Через некоторое время на экране появится окно программы BIOS Setup. Его внешний вид зависит от изготовителя и версии программы.

Прежде всего, следует проверить установку стандартных параметров BIOS. Обратите особое внимание на типы и параметры установленных жестких дисков HD (Hard disk) и типы накопителей на гибких магнитных дисках FD (Floppy Drive).

Перепишите параметры жестких дисков, такие как тип, количество цилиндров, головок и секторов на одной дорожке. Сравните эти значения с паспортными данными, взятыми из документации на жесткий диск, и при необходимости скорректируйте.

Тип и параметры диска

Если в компьютере установлены диски SCSI, тип диска не играет никакой роли и его можно не проверять. Что же касается дисков IDE, то тип таких дисков представляет собой число, обычно лежащее в диапазоне значений от 1 до 47.

При этом типам от 1 до 46 соответствуют стандартные наборы параметров для старых дисков малого объема. Для современных устройств IDE тип выбирается автоматически или указывается тип 47, что позволяет выполнять ручную установку количества цилиндров, головок и секторов на одной дорожке. В любом случае обязательно проверьте параметры по документации, поставляющейся вместе с диском.

Очень часто для дисков IDE используется так называемая логическая адресация блоков LBA (Logical Block Addressing). Если включен режим LBA, в распоряжение операционной системы предоставляется "виртуальный" диск, в котором, по сравнению с реальным диском, меньше дорожек, но больше головок. Например, реальный диск может иметь 4000 дорожек и 4 головки, а "виртуальный" - 1024 дорожки и 256 головок.

Зачем это нужно?

Из-за внутренних ограничений операционная система MS-DOS не может работать с дорожками, номер которых превышает значение 1023. Однако современные дисковые накопители обладают значительной емкостью (порядка 20-60 Гбайт и даже больше), поэтому в них имеется очень много дорожек. Другие операционные системы, такие как IBM OS/2, Microsoft Windows NT/2000, Linux или Novell NetWare, не имеют ограничений на количество адресуемых дорожек диска. Для доступа к диску вместо BIOS они используют специальные дисковые драйверы.

Что же касается MS-DOS, то без дополнительных мер максимальный размер раздела диска не будет превышать 585 Мбайт.

Логическая адресация блоков LBA, выполняемая контроллером диска, позволяет операционной системе MS-DOS работать с разделами очень большого размера, поэтому Вы можете столкнуться с LBA при исследовании большинства современных компьютеров.

Тип FD

Обратите также внимание на тип FD (накопитель на гибких магнитных дисках или дискетах). Если FD с обозначением A: отмечен как Not Installed или Disabled, Вы не сможете загрузить MS-DOS или другую операционную систему с дискеты.

Расширенные параметры BIOS

В меню расширенных параметров BIOS обратите внимание на порядок загрузки операционной системы. Если указан порядок загрузки C:, A:, Вы не сможете загрузить операционную систему с дискеты. При необходимости измените порядок загрузки на A:, C: или A:, CD-ROM, C:.

После завершения всех работ с компьютером верните установку C:, A:, CD-ROM или C: Only (если такое значение есть в данной версии BIOS). В этом случае компьютер будет надежно защищен от заражения загрузочным вирусом через дискеты.

Установка параметров BIOS по умолчанию

Программа BIOS Setup предоставляет вам возможность установить параметры BIOS, принятые по умолчанию.

При этом способ установки зависит от BIOS. Например, программа BIOS Setup, созданная фирмой AMI, позволяет вам загрузить два набора параметров BIOS.

Первый из них загружается при выборе в главном меню программы строки AUTO CONFIGURATION WITH BIOS DEFAULTS. Этот набор параметров предназначен для работы системной платы в стандартном режиме.

Второй набор параметров соответствует строке AUTO CONFIGURATION WITH POWER-ON DEFAULTS и используется главным образом в тех случаях, когда с первым набором компьютер не запускается. Во втором наборе устанавливаются более консервативные параметры (например, отключается кэширование основной оперативной памяти), что иногда позволяет запустить даже частично неисправный компьютер.

Анализ главной загрузочной записи MBR и таблицы разделов

Когда программа FDISK впервые создает разделы на жестком диске, она записывает в начало самого первого сектора жесткого диска (сектор 1, дорожка 0, головка 0) главную загрузочную запись MBR.

Главная загрузочная запись является программой, которая получает управление во время начальной загрузки операционной. Далее загрузочная запись продолжает процесс загрузки операционной системы.

Визуально отличить нормальный главный загрузочный сектор от поврежденного или зараженного вирусом сектора бывает не всегда просто. На рис. 1 показан дамп содержимого сектора с записью MBR, полученный с помощью программы Microsoft DiskProbe из комплекта Windows NT Resource Kit. Аналогичный дамп можно получить и с помощью редактора диска DISKEDIT из комплекта утилит Norton Utilities.

Рис. 1. Дамп сектора главной загрузочной записи MBR

Иногда вирус изменяет только несколько байт, в которые записан адрес загрузочного сектора операционной системы, оставляя программу загрузки нетронутой. Такие изменения можно обнаружить только дизассемблированием и последующим анализом восстановленного исходного текста программы загрузки. В некоторых случаях изменения настолько заметны, что их можно обнаружить "невооруженным глазом", просто взглянув на листинг самого первого сектора диска. Разумеется, наилучшим способом обнаружения вирусного заражения MBR является проверка антивирусной программой.

Другая важнейшая часть первого сектора диска - таблица разделов диска Partition Table.

В ней имеется четыре элемента, которые описывают до четырех разделов диска. В последних двух байтах сектора находится значение 0xAA55. Это признак таблицы разделов - сигнатура таблицы разделов. Здесь и далее с префиксом 0x мы будем указывать шестнадцатеричные значения, а без такого префикса - десятичные. Обратите также внимание, что байты сигнатуры приведены в обратном порядке - байт с младшим значением находится по младшему адресу. Это особенность архитектуры процессоров фирмы Intel.

В разделах диска располагаются логические диски. Можно создать, например, один первичный раздел для диска C: и один вторичный раздел, в котором создаются логические диски D:, E: и т. д.

Программа Microsoft Disk Probe позволяет просмотреть (и отредактировать) содержимое таблицы разделов в отформатированном виде, как это показано на рис. 2.

Рис. 2. Просмотр содержимого таблицы разделов диска

Описание формата таблицы разделов

Формат самого первого сектора жесткого диска можно представить следующим образом:

Как видно из этой таблицы, байты со смещением от 0 до 0x1BE занимает главная загрузочная запись, то есть программа. Далее идут четыре элемента таблицы разделов, причем каждый элемент занимает 0x10 байт. После таблицы располагаются два байта признака таблицы разделов.

В элементе таблицы раздела записана информация о расположении и размере раздела в секторах, а также о назначении раздела. Формат элемента таблицы раздела представлен ниже:

Первый байт элемента таблицы раздела содержит признак активного раздела. Если раздел активный, из него будет выполняться загрузка операционной системы. Часто диск содержит одновременно несколько активных разделов, принадлежащих разным операционным системам.

Следующие три байта определяют физический адрес на диске начального сектора раздела (описывающий данный элемент раздела).

В байте со смещением 1 записан номер головки начального сектора раздела. В двухбайтовом поле со смещением 2 закодирован номер сектора и номер дорожки самого первого сектора раздела. При этом биты 0...5 этого поля задают номер сектора, а биты 6...15 - номер дорожки.

Байт со смещением 4 содержит тип раздела, зависящий от типа операционной системы и типа файловой системы.

Ниже мы привели некоторые наиболее распространенные типы (здесь FAT-12, FAT-16 и FAT-32 обозначают различные модификации файловой системы FAT, подробнее об этом мы расскажем позже):

В байте таблицы разделов со смещением 5 и двухбайтовом слове со смещением 6 записаны номер головки, номер сектора и номер дорожки последнего раздела.

Последние два поля элемента таблицы разделов имеют длину 4 байта и содержат, соответственно, относительный номер самого первого сектора в разделе (то есть относительный номер сектора начала раздела) и количество секторов, имеющихся в разделе. Именно эти поля используются операционной системой Microsoft Windows NT для вычисления расположения раздела.

Остановимся подробнее на относительном номере самого первого сектора в разделе.

Значение относительного номера, равное 0, соответствует дорожке 0, головке 0, сектору 1. При увеличении относительного номера сектора вначале увеличивается номер сектора на дорожке, затем номер головки, и, наконец, номер дорожки. Зная номер дорожки, номер сектора на дорожке и номер головки, можно вычислить относительный номер сектора по следующей формуле:

RelSect = (Cyl * Sect * Head) + (Head * Sect) + (Sect - 1)

Здесь Cyl обозначает номер дорожки, Sect - номер сектора на дорожке, Head - номер головки.

Обычно разделы диска начинаются с четных номеров дорожек, за исключением самого первого раздела. Этот раздел может начинаться с сектора 2 нулевой дорожки (головка 0), так как самый первый сектор диска занят главной загрузочной записью.

Прослеживание списка разделов диска

В операционной системе MS-DOS первичный раздел должен быть единственным и активным, он используется как диск С: и из него выполняется загрузка операционной системы. В расширенном разделе программа FDISK создает логические диски D:, E: и так далее.

Если байт кода раздела имеет значение 5, то в начале соответствующего раздела располагается сектор, содержащий таблицу логических дисков. Эта таблица является расширением таблицы разделов диска, расположенной в самом первом секторе физического диска.

Таблица логических дисков имеет формат, аналогичный таблице разделов диска, но содержит только два элемента.

Один из них указывает на первый сектор логического диска, он имеет значение типа раздела 1 или 4 (для MS-DOS). Второй элемент может иметь значение типа раздела 5 (для MS-DOS) или 0. Если этот код равен 5, то элемент указывает на следующую таблицу логических дисков. Если код системы равен 0, то соответствующий элемент не используется. Выше мы приводили коды первичных и расширенных разделов для разных операционных систем.

Таким образом, таблицы логических дисков связаны в список. Элемент таблицы разделов диска, соответствующий первичному разделу, указывает на начало этого списка.

Для таблицы логических дисков имеется отличие в использовании полей границ логических дисков. Если раздел первичный, эти границы вычисляются относительно начала расширенного раздела. Для расширенных разделов используется абсолютная адресация (относительно физического начала диска).

При помощи кнопки Next Partition (рис. 2) Вы можете просмотреть весь список таблиц логических дисков.

Проверка таблицы разделов при помощи программы DISKEDIT

Упомянутая ранее программа Microsoft Disk Probe работает только в среде операционных систем Microsoft Windows NT и Microsoft Windows 2000. Что же касается MS-DOS и Microsoft Windows 95/98, то здесь для анализа системных структур диска мы рекомендуем редактор DISKEDIT из пакета Norton Utilities. Лучше всего записать эту программу на системную дискету. Только при загрузке с такой дискеты Вы сможете исследовать зараженную вирусами или разрушенную файловую систему, когда MS-DOS не загружается с жесткого диска.

Запустив DISKEDIT, воспользуйтесь меню Object. Для начала выберите из этого меню строку Drive. Если на физическом жестком диске имеются исправные разделы с определенными в них логическими дисками, на экране появится список логических дисков.

Если файловая система разрушена до такой степени, что невозможно выполнить загрузку операционной системы с диска, а при ее загрузке с дискеты не видно ни одного логического диска, при выборе строки Drive вам будет показан список физических дисков (рис. 3).

Рис. 3. Выбор физического диска в программе DISKEDIT

Для просмотра самого первого сектора физического диска, содержащего главную загрузочную запись и таблицу разделов, выберите физический диск Hard Disk 1 и нажмите кнопку OK. После этого на экране появится содержимое искомого сектора в виде дампа. Сектор имеет размер 512 байт, поэтому на одном экране его содержимое не помещается. Вы можете нажать клавишу PgDn и посмотреть вторую часть сектора.

На что здесь нужно обратить внимание?

В начале сектора находится главная загрузочная запись. Она, как мы уже говорили, является программой. При наличии достаточного опыта Вы можете ее дизассемблировать и исследовать. В любом случае следует проверить длину программы. Эта длина не должна быть очень большая - после программы загрузки до начала таблицы разделов должны располагаться нулевые байты. Кроме того, внутри программы загрузки должны быть сообщения Invalid Partition table, Error loading operating system и Missing operating system (для русских версий операционных систем эти сообщения будут на русском языке).

Что же касается второй части самого первого сектора жесткого диска, в ней должна находиться таблица разделов диска.

Последние два байта должны содержать признак таблицы разделов (сигнатуру) - шестнадцатеричное значение 0хAA55.

Вы можете выполнить анализ таблицы разделов диска, пользуясь приведенной выше информацией о ее формате. Напомним, что таблица располагается в первом секторе диска со смещением 0x1BE. Однако намного удобнее воспользоваться для анализа этой таблицы форматным просмотром редактора DISKEDIT.

Установите курсор (мышью или клавишами перемещения курсора) на байт со смещением 0x1BE, который соответствует началу таблицы разделов. Затем в меню View выберите строку as Partition Table. На экране появится таблица разделов диска в отформатированном виде (рис. 4).

Рис. 4. Просмотр таблицы разделов диска

В столбце System отображается информация о типе разделов. Она строится на основе анализа поля типа раздела, хранящегося в соответствующей строке таблицы разделов. Если раздел активен, в столбце Boot для него указана строка Yes, если нет - строка No.

Столбцы Starting Location и Ending Location в полях Side, Cylinder и Sector содержат в расшифрованном виде информацию о расположении самого первого и самого последнего секторов раздела.

Номер относительного сектора, с которого начинается раздел, Вы можете узнать из столбца Relative Sectors, а общее количество секторов - в столбце Number of Sectors.

Полученную информацию о границах разделов имеет смысл сравнить с параметрами жесткого диска, полученными с помощью программы BIOS Setup, так как вирусы могут прятать свое тело в секторах диска, расположенных в конце диска и не распределенных ни одному разделу. Однако при этом следует учитывать, что современные дисковые контроллеры способны выполнять логическую адресацию блоков (режим LBA), искажающую полученную картину.

Поясним сказанное на примере.

В одном из наших компьютеров установлен диск, имеющий 1057 дорожек и 16 головок. На каждой дорожке расположено 63 сектора размером 512 байт. При этом общий объем диска составляет 520 Мбайт. Именно эти параметры нам сообщила программа BIOS Setup.

Программа FDISK определила, что на диске имеется два раздела, размером 300 и 219 Мбайт, а диск используется на 100 процентов. В то же время программа DISKEDIT для этого диска показывает, что последний сектор последнего раздела расположен на дорожке с номером 526.

На первый взгляд, тут что-то не так: программа BIOS Setup сообщает нам, что на диске имеется 1057 дорожек и 16 головок, а в таблице разделов для последнего сектора последнего раздела мы видим совсем другие значения: этот сектор расположен на 526 дорожке, а номер головки равен 31!

Причина такого несоответствия заключается в том, что наш контроллер IDE выполняет логическую адресацию дорожек и головок, предоставляя программам "виртуальный" диск, где по сравнению с реальным диском меньше дорожек, но больше головок.

Сохранение параметров диска и таблицы разделов диска

Прежде чем продолжить исследование файловой системы, мы настоятельно рекомендуем Вам записать параметры диска, определенные с помощью программы BIOS Setup, и содержимое таблицы разделов диска. Просто перепишите полученные значения на лист бумаги. Если в ходе ремонта Вы случайно разрушите область данных BIOS или главный загрузочный сектор, то сможете легко восстановить критичные данные.

Можно также сохранить содержимое сектора MBR в файле, используя соответствующие функции программ DISKEDIT или Microsoft Disk Probe. Подробные инструкции есть в документации и справочных системах указанных программ. Файл необходимо записать на дискету или на другой диск.

Исследование расширенного раздела диска

Если на диске создан только первичный раздел, можно переходить к анализу логического диска C: и других логических дисков. Если же есть расширенный раздел, необходимо проверить сектор таблицы логических дисков -самый первый сектор в расширенном разделе.

Чтобы посмотреть этот сектор, запустите программу DISKEDIT, определите с ее помощью расположение расширенного раздела (дорожка, головка и номер сектора). Затем из меню Object выберите строку Physical Sector. На экране появится диалоговая панель Select physical sector range, с помощью которой можно выбрать для просмотра один или несколько секторов.

Сектор таблицы логических дисков, в отличие от сектора главной загрузочной записи, практически пуст. Все байты в нем от начала и до смещения 0x1BD включительно должны содержать нулевое значение. Далее со смещения 0x1BE располагается таблица логических дисков, состоящая из двух элементов. В конце сектора располагается уже знакомая вам сигнатура - значение 0xAA55.

Структура элементов полностью аналогична структуре элементов таблицы разделов, поэтому Вы можете использовать форматный просмотр. Для этого установите курсор на байт со смещением 0x1BE, и затем из меню View выберите строку as Partition Table.

Сохранение содержимого таблиц логических дисков

На том же листе бумаги, где Вы записывали параметры диска и сведения из таблицы разделов диска, запишите информацию обо всех логических дисках, полученную из таблиц логических дисков. Если содержимое таблиц логических дисков будет случайно разрушено, Вы потеряете доступ к логическим дискам.

Исследование логических дисков FAT

Формат логических дисков, расположенных в разделах жесткого диска, полностью идентичен формату дискет, поэтому многое из сказанного здесь будет справедливо и для дискет.

В самом начале логического диска располагается сектор загрузочной записи Boot Record (не путайте его с сектором главной загрузочной записи MBR, который является самым первым на физическом диске), а также, возможно, зарезервированные секторы.

Вслед за сектором Boot Record находятся две копии таблицы размещения файлов FAT (File Allocation Table), о которой мы еще будем говорить, и корневой каталог. Область данных, занимающая оставшуюся часть логического диска, содержит файлы и остальные каталоги.

Проверка загрузочного сектора

Адрес загрузочного сектора логического диска нетрудно найти в таблице логических дисков. В загрузочном секторе логического диска находится программа начальной загрузки операционной системы. Эта программа помещается в оперативную память загрузчиком, расположенным в главной загрузочной записи MBR.

Назначение программы, расположенной в загрузочном секторе логического диска - загрузка операционной системы, находящейся на этом логическом диске.

Таким образом, при включении питания после выполнения процедуры тестирования BIOS загружает в оперативную память содержимое главной загрузочной записи MBR и передает ей управление. Главная загрузочная запись просматривает таблицу разделов диска и находит активный раздел. При наличии нескольких таких разделов пользователю предлагается сделать выбор раздела для загрузки.

Затем запись MBR считывает загрузочный сектор Boot Record логического диска, расположенного в выбранном активном разделе, и передает управление находящейся в этом секторе программе загрузки операционной системы. Эта программа, в свою очередь, выполняет всю работу по загрузке операционной системы в память компьютера.

Формат загрузочного сектора зависит от версии операционной системы. Однако в любом случае помимо программы начальной загрузки операционной системы загрузочная запись содержит параметры, описывающие характеристики данного логического диска. Все эти параметры располагаются в самом начале сектора, в его так называемой форматированной области. Последние два байта загрузочного сектора содержат уже знакомую вам сигнатуру 0xAA55.

Перед исследованием загрузочной записи Вы должны при помощи команды VER определить версию операционной системы, установленной в компьютере. Для версий MS-DOS, более ранних, чем 4.0, формат загрузочной записи приведен ниже:

В самом начале загрузочного сектора располагается команда внутрисегментного перехода JMP. Она нужна для обхода форматированной зоны сектора и передачи управления загрузочной программе, располагающейся со смещением 0x1E.

Название фирмы-изготовителя не используется операционной системой и представляет собой текстовую строку длиной 8 байт.

Со смещением 0xB располагается блок параметров BIOS Parameter Block (BPB). Этот блок содержит некоторые характеристики логического диска, такие как количество секторов в одном кластере, общее количество секторов и т. д. Формат блока BPB будет описан позже.

Поля загрузочного сектора со смещениями 0x18 и 0x1A содержат, соответственно, количество секторов на дорожке и количество головок. Поле со смещением 0x1C содержит количество "скрытых" секторов, которые не принадлежат ни одному логическому диску. Эти секторы могут использоваться для схемы разделения физического диска на разделы и логические диски (в них может находиться таблица разделов диска или таблицы логических дисков).

Первые два поля имеют то же назначение, что и в загрузочной записи старых версий MS-DOS.

Поле со смещением 26h содержит число 0x29, означающее, что используется формат расширенной загрузочной записи и, соответственно, расширенный блок параметров BIOS Extended BPB.

Серийный номер диска формируется во время форматирования диска на основе даты и времени форматирования. Поэтому все диски и дискеты имеют разные серийные номера.

Метка диска формируется при форматировании и может быть изменена, например, командой LABEL операционной системы MS-DOS. Одновременно метка диска помещается в корневой каталог в виде специального дескриптора. О формате каталогов и дескрипторов, а также о формате таблицы размещения файлов FAT мы расскажем позже.

Теперь о блоке параметров BIOS BPB и расширенном блоке параметров BIOS Extended BPB.

Для версий MS-DOS, более ранних, чем 4.0, блок BPB имеет следующий формат:

Расширенный блок параметров BIOS файловых систем FAT-12 и FAT-16 состоит из обычного блока BPB и дополнительного расширения:

Для дискет и диска тип носителя данных может принимать следующие значения:

Что же касается файловой системы FAT-32, то формат ее загрузочного сектора аналогичен только что описанному, за исключением блока BPB. Размер этого блока составляет 0x25 байт, а формат приведен ниже:

Для форматного просмотра блока параметров BPB (или расширенного блока параметров Extended BPB, в зависимости от версии MS-DOS) удобно использовать программу DISKEDIT. При этом Вы можете найти загрузочную запись двумя способами.

Во-первых, можно выбрать из меню Object строку Boot Record (выбрав предварительно нужный логический диск при помощи строки Drive того же меню). Вы сразу же окажитесь в режиме форматного просмотра блока параметров BIOS выбранного вами диска (рис. 5).

Рис. 5. Просмотр блока параметров BIOS

Во-вторых, если логические диски недоступны, но Вам удалось считать таблицу разделов или таблицу логических дисков, Вы можете перейти к просмотру загрузочной записи, указав ее физический адрес. Для этого из меню Object надо выбрать строку Physical Address (как это было описано раньше). На экране появится дамп первой части загрузочного сектора. Нажав клавишу PgDn, Вы можете перейти к просмотру второй части загрузочного сектора.

При помощи строк as Boot Record и as Hex меню View Вы можете перейти, соответственно, к форматному и неформатному режиму просмотра загрузочного сектора.

Аналогичные возможности форматного просмотра загрузочных записей FAT есть и у программы Microsoft Disk Probe.

Формирование загрузочной записи и блока параметров BIOS происходит при форматировании логического диска (например, командой FORMAT). Если с помощью программы FDISK удалить логический диск, а потом создать на его месте новый такого же размера, блок BPB окажется разрушенным. При этом Вам придется отформатировать логический диск заново.

Блок параметров BIOS содержит критичную информацию, при разрушении которой становится невозможным нормальный доступ к файлам и каталогам, расположенным на логическом диске. Неосторожное обращение с загрузочным сектором жесткого диска может привести к необходимости переформатирования соответствующего логического диска с полной потерей хранившихся там данных.

Перед тем как продолжить дальнейший анализ файловой системы, полезно сделать распечатку содержимого загрузочных секторов всех имеющихся логических дисков в форматном и неформатном виде, так как блок параметров BIOS содержит сведения, необходимые для поиска и анализа других логических структур файловой системы. Для распечатки выберите из меню Tools строку Print Object as и в появившейся на экране диалоговой панели выберите строку Boot Record. Затем нажмите кнопку OK.

Аналогичным образом Вы можете распечатать содержимое других логических структур файловой системы, например, содержимое таблицы разделов диска.

Анализ зарезервированных секторов

Между загрузочным сектором и таблицей размещения файлов FAT могут находиться зарезервированные секторы, которые являются служебными для файловой системы или не используются.

Количество секторов, зарезервированных на логическом диске, можно узнать из блока параметров BIOS (BPB или Extended BPB, в зависимости от версии операционной системы). Искомое значение находится в поле этого блока со смещением 3. При форматном просмотре количество зарезервированных секторов указано в строке Reserved sectors at beginning.

Если зарезервирован только один сектор, то первая копия таблицы размещения файлов FAT располагается сразу вслед за загрузочным сектором. Именно загрузочный сектор в данном случае и является зарезервированным.

Когда зарезервировано несколько секторов, между загрузочным сектором и первой копией таблицы FAT может находиться еще несколько секторов, содержащих нулевые значения. Если компьютер заражен вирусом, в этих секторах может быть спрятано тело вируса или копия оригинальной загрузочной записи, замещенной вирусом.

Таблицы размещения файлов FAT

Операционная система объединяет отдельные секторы диска в так называемые кластеры. При создании новых каталогов и непустых файлов для них выделяется один или несколько кластеров. Если размер файла увеличивается, для него выделяются дополнительные кластеры.

Размер кластера в секторах (то есть количество секторов в одном кластере) нетрудно узнать из поля блока параметров BIOS BPB со смещением 2. При форматном просмотре содержимого загрузочного сектора размер кластера отображается в строке Sectors per cluster.

Для экономии дискового пространства файлам и каталогам распределяются кластеры, которые не обязательно расположены рядом. Таким образом, отдельные кластеры, принадлежащие одному и тому же файлу, могут находиться в разных местах логического диска. За такую экономию приходится платить производительностью, так как считывание фрагментированного файла связано с многочисленными перемещениями магнитных головок, а это самая медленная дисковая операция.

Другая проблема, связанная с фрагментацией файлов, заключается в необходимости хранения списка кластеров, выделенных каждому файлу. Очевидно, для того чтобы прочитать файл, операционная система должна последовательно прочитать все кластеры, распределенные этому файлу.

Где же хранятся списки кластеров?

Эти списки хранятся в таблице размещения файлов FAT (File Allocation Table), к анализу которой мы скоро приступим.

Таблицу размещения файлов можно представить себе как массив, содержащий информацию об относительном расположении кластеров всех файлов. Размер массива определяется общим количеством кластеров на логическом диске. В элементах массива находятся списки кластеров, распределенных файлам, причем элементы массива, соответствующие свободным кластерам, содержат нулевые значения.

Если файл занимает несколько кластеров, то такие кластеры связаны в список. При этом элементы таблицы FAT содержат номера следующих используемых данным файлом кластеров. Конец списка отмечен в таблице специальным значением. Номер первого кластера, распределенного файлу, хранится в элементе каталога, описывающего данный файл (в дескрипторе файла).

Таким образом, зная имя файла и каталог, где этот файл расположен, операционная система MS-DOS может определить номер первого кластера, распределенного файлу, а затем, проследив список кластеров по таблице FAT, определить и номер остальных кластеров, занятых этим файлом.

Программа FORMAT, предназначенная для форматирования диска и некоторые специальные программы аналогичного назначения проверяют логический диск на предмет наличия дефектных областей. Кластеры, расположенные в этих дефектных областях, отмечаются в FAT как плохие и не используются операционной системой.

Для примера на рис. 6 показаны упрощенные дескрипторы корневого каталога диска C:. В них описаны файлы MYFILE1.DOC и MYLETTER.DOC, а также элементы таблицы размещения файлов FAT, выделенные для этих файлов.

Рис. 6. Пример распределения кластеров для файлов MYFILE1.DOC и MYLETTER.DOC

Файл MYFILE1.DOC занимает три кластера с номерами 11, 17 и 18, а файл MYLETTER.DOC - два кластера с номерами 12 и 13. В каталоге указаны номера первых кластеров, распределенных этим файлам (соответственно 11 и 12). Последние ячейки, соответствующие последним кластерам, распределенным файлам, содержат специальное значение - признак конца цепочки кластеров. Для 16-разрядного формата FAT это 0xFFFF, а для 12-разрядного - 0xFFF.

Формат таблицы FAT

Остановимся подробнее на формате таблицы FAT.

Таблица FAT может иметь 12-, 16- или 32-разрядный формат, при этом файловая система будет обозначаться как FAT-12, FAT-16 и FAT-32, а в таблице для хранения информации об одном кластере диска используется 12 , 16 или 32 бит, соответственно.

Первый из этих двух форматов (12-разрядный) применяется для дискет и дисков с небольшим количеством секторов. Таблица размещения файлов FAT-12 дискеты полностью помещается в одном секторе.

Если размер диска слишком большой, для представления всех кластеров двенадцати разрядов будет недостаточно. В этом случае используется 16- или 32- разрядный формат FAT. При этом операционная система может работать с диском, который имеет размер более 32 Мбайт. Поэтому для жестких дисков всегда используется 16- или 32-разрядный формат таблицы FAT.

Как узнать формат FAT?

Формат FAT можно определить, анализируя содержимое поля кода раздела соответствующего элемента таблицы разделов. Это поле расположено в главной загрузочной записи MBR. Если оно содержит значение 1, используется 12-разрядный формат, если 4, то 16-разрядный, а если 0xB или 0xC - 32-разрядный.

Первый элемент таблицы FAT имеет особый формат.

Самый первый байт таблицы FAT называется "Описатель среды" (Media Descriptor). Он имеет такое же значение, как и байт-описатель среды, загрузочного сектора логического диска. Следующие 5 байт для 12-разрядного формата или 7 байт для 16-разрядного формата всегда содержат значение 0xFF.

Вся остальная часть таблицы FAT состоит из 12-, 16- или 32-разрядных ячеек. Каждая ячейка соответствует одному кластеру диска. Эти ячейки для разных форматов таблицы FAT могут содержать следующие значения:

Просмотр таблицы FAT

Для просмотра таблицы размещения файлов FAT мы воспользуемся программой DISKEDIT. Из меню Object выберите строку Drive и укажите интересующий Вас диск.

Затем из меню Object выберите одну из двух строк - 1st FAT или 2nd FAT. На экране появится, соответственно, содержимое первой или второй копии таблицы FAT в отформатированном виде (рис. 7).

Рис. 7. Просмотр первой копии таблицы размещения FAT в отформатированном виде

Вы также можете найти первую или вторую копию таблицы FAT, зная физический адрес загрузочной записи логического диска. Напомним, что загрузочная запись располагается в самом первом секторе дискеты. Расположение загрузочной записи для логических дисков, созданных в разделах жесткого диска, можно определить из таблицы разделов (для логического диска C:) или таблицы логических дисков (для логических дисков, созданных в расширенном разделе).

Далее, в рамках логического диска существует своя последовательная нумерация секторов. При этом порядок нумерации выбран таким, что при последовательном увеличении номера сектора вначале увеличивается номер головки, затем номер дорожки.

Поясним это на примере.

Пусть, например, у нас есть дискета с девятью секторами на дорожке. Сектор с логическим номером, равным 1, расположен на нулевой дорожке и для обращения к нему используется нулевая головка. Это самый первый сектор на дорожке, он имеет номер 1. Следующий сектор на нулевой дорожке имеет логический номер 2, последний сектор на нулевой дорожке имеет логический номер 9. Сектор с логическим номером 10 расположен также на нулевой дорожке. Это тоже самый первый сектор на дорожке, но теперь для доступа к нему используется головка с номером 1. И так далее, по мере увеличения логического номера сектора изменяются номера головок и дорожек.

Согласно такой нумерации, сектор с последовательным номером 0 - это загрузочный сектор. Для того чтобы просмотреть содержимое загрузочного сектора при помощи программы DISKEDIT, Вы можете выбрать из меню Object строку Sector и в появившейся диалоговой панели указать номер сектора, равный нулю.

Заметьте, что в этой диалоговой панели в рамке, озаглавленной Sector Usage, показано распределение секторов. Пользуясь этим распределением, Вы легко сможете определить последовательный номер сектора загрузочной записи, начало и границы обеих копий FAT. Кроме того, нетрудно определить начало и границы корневого каталога и области данных, содержащих файлы и другие каталоги.

С помощью меню View Вы можете просмотреть содержимое таблицы FAT в виде дампа.

Визуально таблица размещения файлов должна содержать в основном монотонно изменяющиеся последовательности номеров кластеров, нулевые значения, соответствующие свободным кластерам, а также значение 0xFFFF (0xFFF для FAT-12 или 0xFFFFFFFF для FAT-32), которое является признаком конца цепочки кластеров.

Вслед за первой копией таблицы FAT должна находиться вторая копия FAT.

Размер таблицы FAT Вы можете определить, зная содержимое поля блока параметров BIOS BPB со смещением 0xB (количество секторов, занимаемых одной копией FAT).

В результате сбоя или вирусной атаки таблица FAT может быть либо полностью разрушена, либо изменена (например, зашифрована или расписана нулями). Если цепочка кластеров для нужного Вам файла разрушена частично или полностью, восстановление такого файла может стать непростой задачей.

Некоторые вирусы пользуются тем фактом, что конец цепочки кластеров может отмечаться любым значением в указанных выше диапазонах (например, от 0xFFF8 до 0xFFFF для 16-разрядной таблицы FAT), в то время как операционная система использует значения 0FFFFh или 0FFFh.

Вирус может выделять для себя зараженные файлы (чтобы избежать повторного заражения), отмечая последний распределенный этим файлам кластер любым другим значением, например, 0xFFF9. При этом операционная система будет продолжать работать нормально, как будто ничего не произошло.

Хотя вторая копия таблицы FAT создается как резервная, для облегчения процедуры восстановления в случае разрушения первой копии, не стоит особенно надеяться на то, что в случае вирусной атаки Вы сможете просто скопировать вторую копию FAT на место первой. Вторая копия FAT также может оказаться разрушенной или зашифрованной, причем иным способом, нежели первая.

Формат каталогов

В случае FAT-12 и FAT-16 непосредственно после второй копии таблицы размещения файлов следует корневой каталог. Расположение корневого каталога для FAT-32 указано в блоке BPB (слово со смещением 0x21).

Размер корневого каталога в секторах Вы можете определить из блока параметров BIOS BPB. Поле со смещением 6 содержит максимальное количество дескрипторов файлов в корневом каталоге диска (этому полю соответствует строка Root directory entries при форматном просмотре содержимого загрузочного сектора программой DISKEDIT).

Размер одного дескриптора составляет 32 байта, поэтому, умножив максимальное количество дескрипторов на это число, мы получим размер корневого каталога в байтах. Зная размер сектора (512 байт), нетрудно определить количество секторов, занимаемых корневым каталогом.

Теперь поговорим о дескрипторах файлов.

Любой каталог (и корневой в том числе) содержит 32-байтовые элементы - дескрипторы, описывающие файлы и другие каталоги. Приведем формат дескриптора, применяющийся в операционной системе MS-DOS:

Обратите внимание на поле со смещением 0x1A. Это номер первого кластера, распределенного файлу или каталогу (если дескриптор описывает каталог более низкого уровня). Пользуясь этим значением, Вы сможете проследить по таблице размещения файлов FAT всю цепочку кластеров, распределенных данному файлу или каталогу. Таким образом, у нас имеется способ отыскать начало цепочки кластеров для любого файла - нужно лишь найти соответствующий дескриптор.

В любом каталоге, кроме корневого, два первых дескриптора имеют специальное назначение. Первый дескриптор содержит в поле имени строку:

Этот дескриптор указывает на содержащий его каталог. То есть каталог имеет ссылку сам на себя. Второй специальный дескриптор содержит в поле имени строку:

Этот дескриптор указывает на каталог более высокого уровня.

Если в поле номера первого занимаемого кластера для дескриптора с именем ".. " находится нулевое значение, это означает, что данный каталог содержится в корневом каталоге.

В древовидной структуре каталогов имеются ссылки, адресующие каталоги как в прямом, так и в обратном направлении. Эти ссылки можно использовать для проверки сохранности структуры каталогов файловой системы.

Байт атрибутов является принадлежностью каждого файла. Разряды байта атрибутов комбинируются при помощи логической операции ИЛИ. Они имеют следующие значения:

Как правило, файлы имеют следующие атрибуты:

При удалении файла первый байт его имени заменяется байтом 0xE5 (символ "х"). После этого все кластеры, распределенные удаленному файлу, отмечаются в таблице FAT как свободные.

Если Вы только что удалили файл, его еще можно восстановить, так как в дескрипторе сохранились все поля, кроме первого байта имени файла. Но если на диск записать новые файлы, то может получиться так, что содержимое кластеров удаленного файла будет изменено. При этом восстановление файла станет проблематичным.

Теперь о полях времени и даты.

Старшие пять разрядов поля времени содержат значение часа модификации файла, шесть разрядов с номерами 5-10 хранят значение минут модификации файла, и, наконец, в младших 5 разрядах находится значение секунд, деленное на 2. Для того чтобы время обновления файла уместилось в шестнадцати разрядах, пришлось пойти на снижение точности времени до двух секунд. В подавляющем большинстве случаев такое снижение точности не играет никакой роли.

Формат даты обновления файла напоминает формат времени. Разряды 9-15 отведены для хранения года, 5-8 - для хранения месяца и 0-4 - для хранения дня недели. Для того чтобы получить значение года обновления файла, необходимо прибавить к величине, хранимой в старших семи битах, значение 1980.

Некоторые вирусы используют поля времени и даты для отметки зараженных файлов. Такая отметка нужна для того, чтобы избежать повторного заражения. Однако этот примитивный способ используется только простейшими вирусами.

Поле длины в дескрипторе содержит точную длину файла в байтах. Для каталогов в поле длины записано нулевое значение.

Когда вирус заражает файл, его длина, как правило, увеличивается. Тем не менее, стелс-вирусы, скрывающие свое присутствие в системе, эффективно маскируют такое увеличение. Поэтому его можно заметить только при загрузке операционной системы с "чистой" дискеты, свободной от вирусного заражения.

Просмотр каталогов

Для просмотра каталогов с целью проверки их структуры мы воспользуемся программой DISKEDIT. Запустите эту программу, и из меню Object выберите строку Directory. На экране появится диалоговая панель Change Directory.

В левой части диалоговой панели отображается дерево каталогов текущего диска. Выберите в нем корневой каталог C:\ и нажмите кнопку OK. После этого на экране появится содержимое корневого каталога в форматированном виде (рис. 8).

Рис. 8. Просмотр первой копии таблицы размещения FAT в отформатированном виде

Анализируя полученную информацию, Вы можете обнаружить подозрительные изменения в полях размера файла, даты и времени. Кроме того, для каждого файла в столбце Cluster отображается номер распределенного ему первого кластера.

С помощью меню View можно переключиться в режим неформатированного просмотра, когда содержимое каталога отображается в виде дампа.

Обратите внимание на меню Link. С помощью этого меню Вы можете переходить к просмотру логически связанных между собой структур файловой системы.

В качестве упражнения выделите в корневом каталоге диска C: файл IO.SYS и затем выберите из меню Link строку Cluster chain (FAT). Вы увидите первую копию таблицы размещения файлов FAT, причем цепочка кластеров, выделенная файлу IO.SYS, будет выделена цветом. С помощью строки File меню Link нетрудно перейти в режим просмотра содержимого файла IO.SYS.

Отметим, что во многих случаях можно выполнять переходы между логически связанными структурами данных двойным щелчком левой клавиши мыши по изображению этих структур, что очень удобно. Подробности можно найти в документации к пакету программ Norton Utilities.

На что следует обратить внимание при проверке структуры каталогов?

Кроме визуальной проверки полей расположенных там дескрипторов следует просмотреть весь каталог до конца. Необходимо убедиться, что в каталоге отсутствуют посторонние данные. Они могут быть записаны туда вирусом.

Если перейти в режим неформатированного просмотра, то можно убедиться, что свободные элементы каталога содержат нулевые значения. Если же после свободных элементов находятся какие-либо данные, существует очень большая вероятность того, что они записаны туда вирусом или системой защиты программ от несанкционированного копирования (если исследуемый каталог содержит такие программы).

В том случае, когда каталог поврежден полностью или частично, ссылки на описанные в нем файлы будут потеряны. Если Вы найдете тем или иным способом секторы, содержащие нужный Вам файл с разрушенным дескриптором, то, пользуясь описанной ниже методикой, сможете восстановить дескриптор и получить доступ к файлу.

Каталоги в файловой системе VFAT

Восстанавливая файловую систему FAT компьютера с операционной системой Microsoft Windows 95/98/NT/2000, следует соблюдать осторожность, так как структура каталогов в ней отличается от той, что была описана выше.

Как Вы, возможно, знаете, пользователи Microsoft Windows 95/98 не слишком скованы ограничениями на длину имен файлов и каталогов. И хотя теоретически такое ограничение существует (255 символов), оно не имеет существенного значения.

Создавая новую операционную систему, программисты Microsoft нашли остроумное решение проблемы совместимости с программами MS-DOS, использующими имена в "формате 8.3" (8 символов - имя файла или каталога, 3 - расширение имени).

Это решение заключается в том, что в каталогах наряду с обычными дескрипторами располагаются дескрипторы специального вида. Количество таких дескрипторов зависит от длины имени файла или каталога. В этих-то дескрипторах и хранится длинное имя. Специально для программ MS-DOS создается обычный дескриптор, содержащий альтернативное имя, отвечающее стандартам MS-DOS.

Новая файловая система получила название VFAT.

Взгляните на рис. 9. На этом рисунке показана структура каталога, созданного в файловой системе Microsoft Windows 98.

Рис. 9. Расширенные и альтернативные дескрипторы длинных имен в корневом каталоге

Обратите внимание на три дескриптора, расположенных под дескриптором файла IO.SYS. Это и есть специальные расширенные дескрипторы, хранящие информацию о длинных именах в кодировке UNICODE (в этой кодировке каждый символ представлен двумя байтами). В данном случае в расширенных дескрипторах хранится имя каталога DesignWorkshop Lite Installer.

Для того чтобы специальные дескрипторы не мешали работе программ MS-DOS, в них установлены атрибуты Read Only, System, Hidden и Volume Label. Обычные программы MS-DOS игнорируют элементы каталога с таким экзотическим набором атрибутов.

Специальный дескриптор отмечается новой версией программы DISKEDIT как LFN (Long File Name) и ссылается на кластер с номером 0. Настоящий номер первого кластера, распределенного файлу или каталогу, находится в стандартном дескрипторе, расположенном непосредственно вслед за расширенным дескриптором. В данном случае это дескриптор каталога с названием DISIGN~1, расположенный в кластере с номером 1274.

Если имя файла или каталога превышает 8 символов, стандартный дескриптор, расположенный после расширенных, содержит альтернативное имя, состоящее из начальных символов имени, символа ~ (тильда) и десятичного числа. Этот дескриптор называется альтернативным.

Операционная система Microsoft Windows NT/2000 также создает расширенные и альтернативные дескрипторы в разделах FAT.

При помощи строки More главного меню программы DISKEDIT можно просмотреть или отредактировать остальные поля специальных дескрипторов.

Например, дата и время создания файла находятся, соответственно, в полях Create Date и Create Time. Дополнительно операционная система Microsoft Windows 95/98 фиксирует дату последнего обращения к файлу. Эту дату Вы можете увидеть в поле Accessed.

Поле EA содержит признак расширенных атрибутов и имеет нулевое значение для стандартных атрибутов.

Если имя настолько длинное, что не помещается в одном специальном дескрипторе, создается несколько таких дескрипторов, расположенных друг за другом. Следом за ними идет альтернативный дескриптор. В поле Ordinal находится порядковый номер специального дескриптора. Для последнего специального дескриптора в поле Last находится отметка Yes.

Для тех, кто интересуется точным форматом стандартных и расширенных дескрипторов VFAT, мы привели фрагмент исходных текстов программы CrashUndo 2000. Это объединение двух структур, первая из которых соответствует стандартному дескриптору, а вторая - расширенному:

Typedef union _FAT_DIR_ENTRY
{
struct _DIR
{
BYTE dir_Name; // имя
BYTE dir_Extension; // расширение имени
BYTE dir_Attributes; // атрибуты
BYTE dir_NTReserved; // зарезервировано для Windows NT
BYTE dir_CreateTimeTenth; // десятые доли времени создания
UINT16 dir_CreateTime; // время создания
UINT16 dir_CreateDate; // дата создания
UINT16 dir_LastAccessDate; // дата последнего доступа
UINT16 dir_FirstClusterHi; // старшее слово номера кластера
UINT16 dir_WriteTime; // время обновления
UINT16 dir_WriteDate; // дата обновления
UINT16 dir_FirstClusterLo; // младшее слово номера кластера
UINT32 dir_FileSize; // размер файла
} dir; struct _LFN
{
BYTE lfn_Sequence; // номер дескриптора
WCHAR lfn_Name1; // первая часть имени
BYTE lfn_Attributes; // атрибуты
BYTE lfn_LongEntryType; // признак расширенного атрибута
BYTE lfn_Checksum; // контрольная сумма имени
WCHAR lfn_Name2; // вторая часть имени
UINT16 lfn_Reserved; // зарезервировано
WCHAR lfn_Name3; // третья часть имени
} lfn;
} FAT_DIR_ENTRY, *PFAT_DIR_ENTRY;

Обратите внимание, что для хранения номера первого кластера, распределенного файлу или каталогу, используется два 16-разрядных поля dir_FirstClusterHi и dir_FirstClusterLo.

Что же касается таблицы размещения файлов FAT, то хотя в операционной системе Microsoft Windows 95/98 она и называется виртуальной таблицей размещения файлов Virtual File Allocation Table (VFAT), ее формат остался прежним. Это сделано для совместимости с программами MS-DOS. Сохранились форматы и других логических блоков файловой системы, таких как таблица разделов диска, таблица логических дисков, загрузочная запись и расширенный блок параметров BIOS Extended BPB.

Заметим, что для восстановления файловой системы Microsoft Windows 95/98 нельзя использовать старые версии пакета Norton Utilities, так как они ничего не знают о расширенных и альтернативных дескрипторах.

Область данных

Вслед за корневым каталогом начинается область данных, простирающаяся до конца логического диска. Эта область разбита на кластеры, причем нумерация кластеров начинается с числа 2. Кластеру с номером 2 соответствуют первые секторы области данных.

Приведем формулу, связывающую номер кластера с номерами секторов, занимаемых им на логическом диске:

SectNumber = DataStart + ((ClustNumber - 2) * ClustSize)

В этой формуле использованы следующие обозначения:

Эта формула может Вам пригодиться при ручном восстановлении файловой системы.

Поиск и восстановление файлов в разделах FAT

В этом разделе мы приведем некоторые рекомендации, направленные на восстановление файлов, доступ к которым стал невозможен из-за вредоносного действия вирусов или в результате разрушения файловой системы FAT по любой другой причине. В любом случае перед началом восстановительных работ следует провести полное исследование параметров BIOS и файловой системы с использованием сведений, изложенных нами ранее.

Необходимо также убедиться, что Вы хорошо владеете структурой файловой системы и знаете форматы всех ее компонентов, таких как таблица разделов, таблица логических дисков, таблица размещения файлов FAT и так далее.

Если в процессе исследования файловой системы Вы обнаружили, что некоторые структуры оказались полностью разрушены (например, главная загрузочная запись с таблицей разделов, таблица логических дисков, каталоги и так далее), еще не все потеряно.

Если сохранность информации не имеет для Вас решающего значения, то многие повреждения файловой системы можно исправить в автоматическом режиме при помощи программ Norton Disk Doctor или SCANDISK. Однако, эти весьма неплохие программы в некоторых случаях не смогут оказать Вам существенной помощи. Хуже того, они может окончательно разрушить логическую структуру диска, после чего восстановление файлов станет невозможным.

Поэтому Вы должны владеть хотя бы основными приемами ручного восстановления файловой системы. В тяжелых или ответственных случаях мы настоятельно рекомендуем обращаться к нам в службу DataRecovery.Ru через сервер http://www.datarecovery.ru или http://www.frolov.pp.ru.

Основная идея поиска потерянных файлов и структур данных заключается в том, что Вам известно (хотя бы приблизительно) их имя или содержимое.

Например, секторы, содержащие таблицу разделов, таблицу логических дисков и загрузочную запись, имеют сигнатуру 0xAA55. Из предыдущих разделов этой главы Вы знаете, что программы начальной загрузки содержат в своем теле известные текстовые строки. Вы можете использовать их для поиска. Такие строки есть и в теле расширенного блока параметров BIOS Extended PBP (это строки FAT12, FAT16 или FAT32).

Если Вы знаете характерные слова или последовательности байт, встречающиеся в потерянных файлах данных, они тоже пригодны для поиска секторов файла с целью восстановления.

Поиск с помощью программы Norton File Find

Наиболее распространенное повреждение файловой системы FAT возникает при внезапном отключении питания и заключается в появлении так называемых потерянных кластеров. Это повреждение также бывает следствием аппаратного сброса компьютера при работающей операционной системе Microsoft Windows.

Потерянные кластеры называются так потому, что на них нет ссылок ни в одном каталоге файловой системы. Такая ситуация может возникнуть, например, из-за того, что соответствующий каталог был просто уничтожен и, следовательно, ссылки на описанные в нем файлы исчезли.

Чаще всего для ремонта повреждений такого рода пользователи применяют программу SCANDISK, входящую в состав операционной системы, или программу Norton Disk Doctor.

После восстановления файловой системы программой Norton Disk Doctor или SCANDISK на диске может образоваться громадное количество файлов со специфическим расширением имени, составленные из цепочек потерянных кластеров (каждая программа восстановления использует свое имя). Таких файлов в зависимости от серьезности повреждений файловой системы может быть до нескольких тысяч.

Если после сбоя или вирусной атаки Вы проверили диск одной из перечисленных выше программ, и в результате нужные Вам файлы исчезли, существует большая вероятность, что они оказались среди восстановленных файлов. Однако как их найти среди сотен и тысяч других?

Проще всего это сделать, например, с помощью программы Norton Find File. Ее можно запустить из популярной оболочки Norton Commander при помощи комбинации клавиш Alt+F7.

В поле File(s) to find Вы должны задать шаблон для имени файла и расширения имени, например, *.NDD. Поиск будет выполняться только среди файлов, имя которых удовлетворяет указанному шаблону.

Необходимо также указать в поле Containing контекст для поиска, то есть какую-либо текстовую строку, присутствующую в файле. Например, для того чтобы найти все файлы, созданные текстовым процессором Microsoft Word for Windows, Вы можете указать строку контекста "Microsoft Word", а для того чтобы найти все файлы, подготовленные в среде процессора электронных таблиц Microsoft Excel, укажите строку контекста "Microsoft Excel".

Список путей к найденным файлам отобразится в верхней части окна программы Norton Find File.

В дальнейшем, если найденных файлов будет все еще очень много, Вы можете переписать их в отдельный каталог и переименовать, а затем продолжить поиск, используя другие строки в качестве контекста.

Поиск с помощью программы DISKEDIT

По сравнению с описанной в предыдущем разделе программой Norton Find File, программа DISKEDIT предоставляет намного больше возможностей для поиска файлов, а также различных структур файловой системы.

Поиск разделов

Обратите внимание на меню Tools программы DISKEDIT.

Если выбрать из этого меню строку Find, на экране появится диалоговая панель Enter search text. С помощью этой диалоговой панели Вы сможете выполнять контекстный поиск строк, заданных как символьным, так и шестнадцатеричным представлением. Дополнительно можно указать смещение сектора и выбрать режим Ignore Case. При использовании этого режима сравнение с образцом будет выполняться без учета строчных или прописных букв.

Строка Find Object позволяет выполнить поиск различных структур файловой системы. Если выбрать эту строку, на экране появится меню второго уровня, где есть строки Partition/Boot, FAT и Subdirectory.

Попробуйте все это в действии. Для этого откройте меню Object и выберите из него строку Physical Sector. Затем укажите самый первый сектор, расположенный на нулевой дорожке. Этот сектор должен содержать главную загрузочную запись MBR. Перейдите в режим неформатированного просмотра, выбрав из меню View строку as Hex.

А что делать, если, взглянув на главную загрузочную запись, Вы увидели, что таблица разделов разрушена или зашифрована?

В этом случае можно выполнить контекстный поиск секторов загрузочных записей, содержащих блоки параметров BIOS BPB. Проще всего это сделать, если после просмотра главной загрузочной записи по ее физическому адресу и перехода к следующему сектору диска выбрать из меню Tools/Find Object строку Partition/Boot.

Программа DISKEDIT найдет сектор, содержащий в конце последовательность байт "55 AA", соответствующую сигнатуре загрузочного сектора 0xAA55.

После того как Вы нашли загрузочный сектор, его физический адрес можно вручную подставить в таблицу разделов, отредактировав ее программой DISKEDIT.

Так как структура разделов диска в процессе эксплуатации последнего может многократно изменяться, не исключено, что Вы найдете слишком много загрузочных секторов. Некоторые из них принадлежали старым разделам и не были уничтожены при изменении структуры разделов, некоторые вообще могут принадлежать другим операционным системам. В любом случае проверяйте расположение найденного загрузочного сектора относительно других найденных вами логических структур файловой системы. Например, Вы можете использовать для "опознания" тот факт, что сразу после загрузочного сектора раздела FAT должна следовать таблица размещения файлов.

Так как в процессе поиска программа DISKEDIT проверяет только последние два байта сектора, возможны ложные срабатывания. Вслед за найденным сектором может располагаться сектор, содержимое которого мало похоже на таблицу размещения файлов.

Поиск таблиц FAT

Теперь выберите из меню Tools строку Find Object и затем строку FAT. Программа DISKEDIT выполнит поиск первой копии таблицы размещения файлов FAT, и отобразит ее дамп, выделив в нем первые три байта.

Если теперь сместить текстовый курсор вниз или нажать клавишу PgDn, а затем выбрать из меню Tools/Find Object строку FAT еще раз, будет найдена вторая копия таблицы размещения файлов FAT.

Учтите, что поиск таблиц FAT в данном случае сводится к поиску последовательности байт "F8 FF FF", поэтому выполнив поиск в третий раз, Вы сможете найти еще одну, ненастоящую "таблицу FAT". Дело в том, что наверняка на диске имеется какой-нибудь файл, содержащий указанную выше последовательность байт, поэтому будьте внимательны.

Поиск потерянных каталогов

Теперь займемся поиском потерянных каталогов. На такие каталоги нет ссылок из других каталогов.

Для поиска Вы можете воспользоваться строкой Subdirectory меню Tools/Find Object. Программа DISKEDIT просматривает секторы диска в поисках такого, в начале которого находится последовательность байт "2E 20 20 20 20 20 20 20 20 20 20". Эта последовательность соответствует дескриптору, содержащему ссылку каталога на себя самого.

Нажимая комбинацию клавиш Ctrl+G, Вы можете продолжить поиск нужного каталога, пока не найдете тот, который содержит интересующие Вас файлы. Можно выполнять поиск и по имени файла, если Вы его знаете.

Как только нужный каталог найден, необходимо записать физический адрес сектора диска, содержащего каталог, а затем найти либо вычислить номер кластера, соответствующего каталогу.

Для поиска номера кластера, в котором располагается найденный каталог, перейдите в режим форматированного просмотра каталога, выбрав из меню View строку as Directory. Затем в меню Link выберите строку Cluster chain (fat). На экране появится содержимое таблицы FAT в режиме форматированного просмотра, при этом искомый номер кластера будет выделен.

Восстановление потерянных каталогов и файлов

Зная номер кластера потерянного каталога, Вы можете создать новый дескриптор каталога, например, в корневом каталоге диска, и сделать в этом дескрипторе ссылку на найденный каталог. После этого потерянный каталог вновь станет доступным.

Учтите, что для файловой системы VFAT необходимо правильно заполнять поле контрольной суммы имени в расширенном дескрипторе, а также указывать 32-разрядный номер первого кластера, распределенного файлу.

Можно предложить следующий алгоритм восстановления файла:

• выполнить контекстный поиск секторов файла с помощью строки Files из меню Tools, а также последовательным просмотром секторов диска;
• определить номер кластеров, соответствующих найденным секторам, пользуясь приведенной выше формулой или средствами программы DISKEDIT;
• восстановить цепочку номеров кластеров для файла в таблице размещения файлов FAT, отметив в ней последний кластер специальным значением (таким как 0xFFFF для FAT-16);
• создать в любом каталоге (например, в корневом) дескриптор файла;
• указать в созданном дескрипторе ссылку на первый кластер восстановленного файла и размер файла.

Если Вы восстановили файл документа, созданный текстовым процессором Microsoft Word for Windows или процессором таблиц Microsoft Excel, загрузите его в соответствующее приложение и затем сохраните его под другим именем. При этом будет восстановлена правильная длина файла.

Простой текстовый файл можно загрузить в текстовый редактор и "отрезать" лишние данные в конце файла. Затем сохраните файл под другим именем.

Если Вы знаете точную длину файла, ее можно установить при помощи программы DISKEDIT в режиме редактирования дескриптора файла (рис. 9).

Компьютерные вирусы

Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или FAT-таблицу, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

Проявление наличия вируса в работе на ПЭВМ

Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.

Некоторые признаки заражения:

• некоторые программы перестают работать или начинают работать неправильно;
• на экран выводятся посторонние сообщения, символы и т.д.;
• работа на компьютере существенно замедляется;
• некоторые файлы оказываются испорченными и т.д.
• операционная система не загружается;
• изменение даты и времени модификации файлов;
• изменение размеров файлов;
• значительное увеличение количества файлов на диска;
• существенное уменьшение размера свободной оперативной памяти и т.п.

Некоторые виды вирусов вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например форматируют весь жесткий диск на компьютере. Другие вирусы стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске.

Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.

Разновидности компьютерных вирусов

Вирусы классифицируют по среде обитания и по способу воздействия. По среде обитания вирусы подразделяются на следующие виды:

• файловые вирусы, которые внедряются главным образом в исполняемые файлы, т.е. файлы с расширением exe, com, bat, но могут распространяться и через файлы документов;
• загрузочные, которые внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;
• макровирусы, которые заражают файлы-документы и шаблоны документов Word и Excel.;
• сетевые, распространяются по компьютерной сети;

Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков.

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Рассмотрим "невидимые" и самомодифицирующиеся вирусы.

"Невидимые" вирусы . Многие резидентные вирусы (резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них) (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Самомодифицирующиеся вирусы . Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

Методы защиты от компьютерных вирусов

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

• общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
• профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
• специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

• копирование информации - создание копий файлов и системных областей дисков;
• разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. Такая комбинация называется сигнатурой . При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны".

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Программы-фильтры , которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии.

Программы-вакцины , или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Рассмотрим структуру этой обороны.

Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.

Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.

Итак, одним из основных методов борьбы с вирусами является своевременная профилактика их появления и распространения. Только комплексные профилактические меры защиты обеспечивают защиту от возможной потери информации. В комплекс таких мер входят:

1. Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера).
2. Использование только лицензионных дистрибутивных копий программных продуктов.
3. Систематическая проверка компьютера на наличие вирусов. Компьютер должен быть оснащен эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных программ. Для обеспечения большей безопасности следует применять параллельно несколько антивирусных программ.
4. Осуществление входного контроля нового программного обеспечения, поступивших дискет. При переносе на компьютер файлов в архивированном виде после распаковки их также необходимо проверять.
5. При работе на других компьютерах всегда нужно защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации.
6. При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.
7. При работе в сети необходимо использовать антивирусные программы для входного контроля всех файлов, получаемых из компьютерных сетей. Никогда не следует запускать непроверенные файлы, полученные по компьютерным сетям.

Современные технологии антивирусной защиты позволяют защитить от вируса файловые сервера, почтовые сервера и сервера приложений. Например, антивирус Касперского для защиты файловых серверов позволяет обнаружить и нейтрализовать все типы вредоносных программ на файловых серверах и серверах приложений, работающих под управлением ОС Solaris, включая "троянские" программы, Java и ActiveX – апплеты.
В состав антивируса Касперского для защиты файловых серверов входят:

• антивирусный сканер, осуществляющий антивирусную проверку всех доступных файловых систем на наличие вирусов по требованию пользователя. Проверяются в том числе архивированные и сжатые файлы;
• антивирусный демон, являющийся разновидностью антивирусного сканера с оптимизированной процедурой загрузки антивирусных баз в память, осуществляет проверку данных в масштабе реального времени;
• ревизор изменений, Kaspersky Inspector, отслеживает все изменения, происходящие в файловых системах компьютера. Модуль не требует обновлений антивирусной базы: контроль осуществляется на основе снятия контрольных сумм файлов (CRC – сумм) и их последующего сравнения с данными, полученными после изменения файлов.

Комбинированное использование этих модулей позволяет создать антивирусную защиту, наиболее точно отвечающую системным требованиям.
Обнаруженные подозрительные или инфицированные объекты могут быть помещены в предварительно указанную "карантинную" директорию для последующего анализа.
Антивирус Касперского обеспечивает полномасштабную централизованную антивирусную защиту почтовых систем, работающих под управлением ОС Solaris.
Проверке на наличие вирусов подвергаются все элементы электронного письма – тело, прикрепленные файлы (в том числе архивированные и компрессированные), внедренные OLE-объекты, сообщения любого уровня вложенности. Обнаруженные подозрительные или инфицированные объекты могут быть вылечены, удалены, переименованы, или помещены в заранее определенную карантинную директорию для последующего анализа.
Ежедневное обновление базы вирусных сигнатур, автоматически реализуется через Интернет при помощи специально встроенного модуля и обеспечивает высокий уровень детектирования компьютерных вирусов.

Контрольные вопросы

1. Что называется компьютерным вирусом?
2. Какая программа называется "зараженной"?
3. Что происходит, когда зараженная программа начинает работу?
4. Как может маскироваться вирус?
5. Каковы признаки заражения вирусом?
6. Каковы последствия заражения компьютерным вирусом?
7. По каким признакам классифицируются компьютерные вирусы?
8. Как классифицируются вирусы по среде обитания?
9. Какие типы компьютерных вирусов выделяются по способу воздействия?
10. Что могут заразить вирусы?
11. Как маскируются "невидимые" вирусы?
12. Каковы особенности самомодифицирующихся вирусов?
13. Какие методы защиты от компьютерных вирусов можно использовать?
14. В каких случаях применяют специализированные программы защиты от компьютерных вирусов?
15. На какие виды можно подразделить программы защиты от компьютерных вирусов?
16. Как действуют программы-детекторы?
17. Что называется сигнатурой?
18. Всегда ли детектор распознает зараженную программу?
19. Каков принцип действия программ-ревизоров, программ-фильтров, программ-вакцин?
20. Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ?
21. Перечислите меры защиты информации от компьютерных вирусов.
22. Каковы современные технологии антивирусной защиты?
23. Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов?
24. Какие модули входят в состав антивируса Касперского для защиты файловых систем?
25. Каково назначение этих модулей?
26. Какие элементы электронного письма подвергаются проверке на наличие вирусов?
27. Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или инфицированные объекты?
28. Как обновляется база вирусных сигнатур?

Уважаемые пользователи, материал данной статьи нельзя считать полным и исчерпывающим, так как прогресс неуклонно движется вперед и, к сожалению технологии, по написанию вирусов и вредоносных программ также совершенствуются. Данная статья составлена в ознакомительных целях, для повышения образованности и осведомленности пользователей. Я надеюсь (неверное наивно), что изложенный материал никого не подтолкнет к написанию вредоносных программ, а наоборот заставить задуматься. Помните, есть одно мудрое высказывание: "Не плюйте в колодец, испить придется". В нашем случае Интернет это огромный "колодец" информации, из которого мы получаем необходимые для нас с Вами сведения. Содержать его в чистоте наша с Вами прямая обязанность, ведь мы являемся его неотъемлемыми частицами (пусть косвенно, но тем не менее:).

Что такое вирусы

Вирус - это специально написанная, небольшая по размерам программа, последовательность кодов-инструкций, которая может "приписывать" себя к другим программам ("заражать" их), создавать свои копии (не всегда одинаковые) и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере.

Своим названием компьютерные вирусы обязаны определённому сходству с вирусами естественными: способности к самозаражению; высокой скорости распространения; избирательности поражаемых систем (каждый вирус поражает только определённые системы или однородные группы систем); способности "заражать" ещё незаражённые системы; трудности в борьбе с вирусами и т.д..

Классификация компьютерных вирусов

Условно вирусы можно классифицировать по следующим признакам:
* по среде обитания вируса
* по способу заражения среды обитания
* по деструктивным возможностям
* по особенностям алгоритма вируса
* по виду деструктивных действий

Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера.

Чтобы было более понятно, я подробно объясню, как происходит загрузка компьютера: после включения ПК в сеть блок питания посылает сигнал POWER_ON на материнскую плату, та в свою очередь проверяет напряжения в цепи питания, если оно соответствует норме, то компьютер включается. Далее управление получает программа в BIOS (Basic Input Output System) видеокарты, она производит тестирование компонентов видеокарты и при получении положительных данных, передает управление BIOS материнской платы. Он запускает процедуру POST (Power-On Self Test), которая производит самотестирование всех компонентов системы, если тестирование происходит удачно и все найденные устройства вернули положительные сигналы, BIOS в соответствии с данными в разделе Boot и передает управление тому устройству, которое стоит в данном списке первым. Управление передается посредством поиска первого физического сектора, считывания его и запуска начального загрузчика.

В случае дискеты или компакт-диска управление получает boot-сектор, который анализирует таблицу параметров диска (BPB - BIOS Parameter Block) высчитывает адреса системных файлов операционной системы, считывает их в память и запускает на выполнение. Если же на загрузочном диске отсутствуют файлы операционной системы, программа, расположенная в boot-секторе диска выдает сообщение об ошибке и предлагает заменить загрузочный диск.

В случае винчестера управление получает, выше указанный, начальный загрузчик который, анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска C:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты. Далее все проще, в системных файлах находится загрузчик операционной системы, который и производит дальнейшую загрузку ОС.

При заражении дисков загрузочные вирусы "подставляют" свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.

Заражение дискет производится единственным известным способом - вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами - вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в Disk Partition Table, расположенной в MBR винчестера.

При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).

Существует несколько вариантов размещения на диске первоначального загрузочного сектора и продолжения вируса: в сектора свободных кластеров логического диска, в неиспользуемые или редко используемые системные сектора, в сектора, расположенные за пределами диска.

Если продолжение вируса размещается в секторах, которые принадлежат свободным кластерам диска (при поиске этих секторов вирусу приходится анализировать таблицу размещения файлов - FAT), то, как правило, вирус помечает в FAT (Fail Allocation Table) эти кластеры как сбойные (так называемые псевдосбойные кластеры).

Так же, вирусы размещают первоначальный загрузочный сектор в неиспользуемом или редко используемом секторе - в одном из секторов винчестера (если такие есть), расположенных между MBR и первым boot-сектором, а на дискете такой сектор выбирается из последних секторов корневого каталога.

Некоторые вирусы записывают свой код в последние сектора винчестера, поскольку эти сектора используются только тогда, когда винчестер полностью заполнен информацией. Реже используется метод сохранения продолжения вируса за пределами диска. Достигается это двумя способами. Первый сводится к уменьшению размеров логических дисков: вирус вычитает необходимые значения из соответствующих полей BPB boot-сектора и Disk Partition Table винчестера (если заражается винчестер), уменьшает, таким образом, размер логического диска и записывает свой код в "отрезанные" от него сектора.

Второй способ - запись данных за пределами физического разбиения диска. В случае флоппи-дисков вирусу для этого приходится форматировать на диске дополнительный трек (метод нестандартного форматирования). Существуют вирусы, записывающие свой код за пределами доступного пространства винчестера, если, разумеется, это допускается установленным оборудованием.

Конечно, существуют и другие методы размещения вируса на диске, например, некоторые вирусы содержат в своем теле стандартный загрузчик MBR и при заражении записываются поверх оригинального MBR без его сохранения.

При заражении большинство вирусов копирует в код своего загрузчика системную информацию, хранящуюся в первоначальном загрузчике (для MBR этой информацией является Disk Partition Table, для Boot-сектора дискет - BIOS Parameter Block). В противном случае система окажется неспособной загрузить себя, поскольку дисковые адреса компонент системы высчитываются на основе этой информации.

Однако некоторые Стелс-вирусы не сохраняют эту информацию или даже более того - преднамеренно шифруют ее. При обращении системы или других программ к зараженным секторам вирус подставляет их незараженные оригиналы, и загрузка системы происходит без каких-либо сбоев.

Следует также отметить тот факт, что загрузочные вирусы очень редко "уживаются" вместе на одном диске - часто они используют одни и те же дисковые сектора для размещения своего кода/данных. В результате код/данные первого вируса оказываются испорченными при заражении вторым вирусом, и система либо зависает при загрузке, либо зацикливается.

Алгоритм работы загрузочного вируса

Практически все загрузочные вирусы резидентны. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т.е. на вирус) управление. После этого начинают выполняться инструкции вируса, который:
1. как правило, уменьшает объем свободной памяти (слово по адресу 0040:0013), копируют в освободившееся место свой код и считывает с диска свое продолжение (если оно есть). В дальнейшем некоторые вирусы "ждут" загрузки ОС и восстанавливают это слово в его первоначальное значение. В результате они оказываются расположенными не за пределами ОС, а как отдельные блоки памяти операционной системы.
2. перехватывает необходимые вектора прерываний (обычно - INT 13h), считывает в память оригинальный boot-сектор и передает на него управление.

В дальнейшем загрузочный вирус ведет себя так же, как резидентный файловый: перехватывает обращения операционной системы к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия или вызывает звуковые или видеоэффекты.

Существуют нерезидентные загрузочные вирусы - при загрузке они заражают MBR винчестера и дискеты, если те присутствуют в дисководах. Затем такие вирусы передают управление оригинальному загрузчику и на работу компьютера более не влияют.

Файловые вирусы

К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо ОС.

Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных ОС, а также динамические и виртуальные библиотеки драйверов (dll,VxD) и многие другие файлы.

Существуют вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или объектные модули. Возможна запись вируса и в файлы данных, но это случается либо в результате ошибки вируса, либо при проявлении его агрессивных свойств. Макро-вирусы также записывают свой код в файлы данных - документы или электронные таблицы, - однако эти вирусы настолько специфичны, что вынесены в отдельную группу.

Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.

Внедрение вируса в начало файла

Внедрение вируса в начало файла применяется в подавляющем большинстве случаев при заражении DOS"овских BAT- и COM-файлов. Известно несколько вирусов, записывающих себя в начало EXE-файлов операционных систем DOS, Windows и даже Linux. При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда для этого используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т.е. дублируют работу ОС).

Внедрение вируса в конец файла

Наиболее распространенным способом внедрения вируса в файл является дописывание вируса в его конец. При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса.

В DOS COM-файле в большинстве случаев это достигается изменением его первых трех (или более) байтов на коды инструкции JMP Loc_Virus (или в более общем случае - на коды программы, передающей управление на тело вируса).

Вирусы, внедряющиеся в SYS-файлы, приписывают свои коды к телу файла и модифицируют адреса программ стратегии (Strategy) и прерывания (Interrupt) заражаемого драйвера. При инициализации зараженного драйвера вирус перехватывает соответствующий запрос операционной системы, передает его драйверу, ждет ответа на этот запрос, корректирует его и остается вместе с драйвером в одном блоке оперативной памяти. Такой вирус может быть чрезвычайно опасным и живучим, так как он внедряется в оперативную память при загрузке ОС раньше любой антивирусной программы, если она, конечно, тоже не является драйвером.

Существуют также вирусы, заражающие системные драйвера другим способом: вирус модифицирует его заголовок так, что ОС рассматривает инфицированный файл как цепочку из двух (или более) драйверов.

Аналогично вирус может записать свои коды в начало драйвера, а если в файле содержится несколько драйверов, то и в середину файла.

Внедрение вируса в середину файла

Существует несколько методов внедрения вируса в середину файла. В наиболее простом из них вирус переносит часть файла в его конец или "раздвигает" файл и записывает свой код в освободившееся пространство. Этот cпособ во многом аналогичен методам, перечисленным выше. Некоторые вирусы при этом компрессируют переносимый блок файла так, что длина файла при заражении не изменяется.

Вторым является метод "cavity", при котором вирус записывается в заведомо неиспользуемые области файла. Вирус может быть скопирован в незадействованные области таблицы настройки адресов DOS EXE-файла или заголовок NewEXE-файла, в область стека файла COMMAND.COM ("Lehigh") или в область текстовых сообщений популярных компиляторов ("NMSG"). Существуют вирусы, заражающие только те файлы, которые содержат блоки, заполненные каким-либо постоянным байтом, при этом вирус записывает свой код вместо такого блока.

Вирусы без точки входа

Отдельно следует отметить довольно незначительную группу вирусов, не имеющих "точки входа" (EPO-вирусы - Entry Point Obscuring viruses). К ним относятся вирусы, не записывающие команд передачи управления в заголовок COM-файлов (JMP) и не изменяющие адрес точки старта в заголовке EXE-файлов. Такие вирусы записывают команду перехода на свой код в какое-либо место в середину файла и получают управление не непосредственно при запуске зараженного файла, а при вызове процедуры, содержащей код передачи управления на тело вируса. Причем выполняться эта процедура может крайне редко (например, при выводе сообщения о какой-либо специфической ошибке). В результате вирус может долгие годы "спать" внутри файла и выскочить на свободу только при некоторых ограниченных условиях.

Перед тем, как записать в середину файла команду перехода на свой код, вирусу необходимо выбрать "правильный" адрес в файле - иначе зараженный файл может оказаться испорченным. Известны несколько способов, с помощью которых вирусы определяют такие адреса внутри файлов.

Первый способ - поиск в файле последовательности стандартного кода C/Pascal. Эти вирусы ищут в заражаемых файлах стандартные заголовки процедур C/Pascal и записывают вместо них свой код.

Второй способ - трассировка или дизассемблирование кода файла. Такие вирусы загружают файл в память, затем трассируют или дизассемблируют его и в зависимости от различных условий выбирают команду (или команды), вместо которых записывается код перехода на тело вируса.

Третий способ применяется только резидентными вирусами - при запуске файла они контролируют какое-либо прерывание (чаще - INT 21h). Как только заражаемый файл вызывает это прерывание, вирус записывает свой код вместо команды вызова прерывания.

Компаньон - вирусы

К категории "компаньон" относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т.е. вирус.

Наиболее распространены компаньон - вирусы, использующие особенность DOS первым выполнять.COM-файл, если в одном каталоге присутствуют два файла с одним и тем же именем, но различными расширениями имени - .COM и.EXE. Такие вирусы создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением.COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл. Некоторые вирусы используют не только вариант COM-EXE, но также и BAT-COM-EXE.

Вторую группу составляют вирусы, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под именем XCOPY.EXE. При запуске управление получает код вируса, который затем запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Интересен тот факт, что данный метод работает, наверное, во всех операционных системах - подобного типа вирусы были обнаружены не только в DOS, но в Windows и OS/2.

В третью группу входят так называемые "Path-companion" вирусы, которые "играют" на особенностях DOS PATH. Они либо записывают свой код под именем заражаемого файла, но "выше" на один уровень PATH (DOS, таким образом, первым обнаружит и запустит файл-вирус), либо переносят файл-жертву на один подкаталог выше и т.д.

Файловые черви

Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон - вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям "специальные" имена, чтобы подтолкнуть пользователя на запуск своей копии - например, INSTALL.EXE или WINSTART.BAT.

Существуют вирусы-черви, записывающие свои копии в архивы (ARJ, ZIP, RAR и прочие). К таким вирусам относятся "ArjVirus" и "Winstart". Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы.

Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.

Link-вирусы

Link-вирусы, как и компаньон - вирусы не изменяют физического содержимого файлов, однако при запуске зараженного файла "заставляют" ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.

На сегодняшний день известен единственный тип Link-вирусов - вирусы семейства "Dir_II". При заражении системы они записывают свое тело в последний кластер логического диска. При заражении файла вирусы корректируют лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, при заражении файлов их длины и содержимое кластеров диска, содержащих эти файлы, не изменяется, а на все зараженные файлы на одном логическом диске будет приходиться только одна копия вируса.

После заражения данные каталога указывают на вирус, т.е. при запуске файла управление получают не файлы, а вирус.

OBJ-, LIB-вирусы и вирусы в исходных текстах

Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Всего их около десятка. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и неспособен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же "живого" вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB-файлы, на втором этапе (линковка) получается работоспособный вирус.

Заражение исходных текстов программ является логическим продолжением предыдущего метода размножения. При этом вирус добавляет к исходным текстам свой исходный код (в этом случае вирус должен содержать его в своем теле) или свой шестнадцатеричный дамп (что технически легче). Зараженный файл способен на дальнейшее распространение вируса только после компиляции и линковки.

Алгоритм работы файлового вируса

Метод восстановления программы в первоначальном виде зависит от способа заражения файла. Если вирус внедряется в начало файла, то он либо сдвигает коды зараженной программы на число байт, равное длине вируса, либо перемещает часть кода программы из ее конца в начало, либо восстанавливает файл на диске, а затем запускает его. Если вирус записался в конец файла, то при восстановлении программы он использует информацию, сохраненную в своем теле при заражении файла. Это может быть длина файла, несколько байт начала файла в случае COM-файла или несколько байтов заголовка в случае EXE-файла. Если же вирус записывается в середину файла специальным образом, то при восстановлении файла он использует еще и специальные алгоритмы.

Внедрение вируса в DOS COM- и EXE-файлы

Выполняемые двоичные файлы COM или EXE, различающиеся заголовком и способом запуска программ на выполнение. Расширение имени файла ("*.COM" или "*.EXE") не всегда соответствует действительному формату файла, что, правда, никак не влияет на работу программы. Файлы COM и EXE заражаются по-разному, следовательно, вирус должен отличать файлы одного формата от другого. Вирусы решают эту задачу двумя способами: одни анализируют расширение имени файла ("*.COM", "*.EXE"), другие - заголовок файла. Первый способ далее будет называться заражением *.COM- (или *.EXE-) файлов, второй - заражением COM- (или EXE-) файлов.

В большинстве случаев вирус инфицирует файл корректно, т.е. по информации, содержащейся в теле вируса, можно полностью восстановить зараженный файл. Но вирусы, как и большинство программ, часто содержат незаметные с первого взгляда ошибки. Из-за этого даже вполне корректно написанный вирус может необратимо испортить файл при его заражении. Например, вирусы, различающие типы файлов по расширению имени (*.COM, *.EXE), очень опасны, так как портят файлы, у которых расширение имени не соответствует внутреннему формату.

Один из наиболее часто встречающихся примеров некорректного заражения файла - COMMAND.COM от Windows95. Этот файл, по сути, является EXE-файлом, более того имеет размер более 90K, что невозможно для COM-файла. Поэтому вирусы, которые различают COM/EXE файлы по расширению имени и не проверяют длины заражаемых COM-файлов (например, "Junkie"), портят такой COMMAND.COM, и он становится неработоспособным.

Примитивная маскировка

При инфицировании файла вирус может производить ряд действий, маскирующих и ускоряющих его распространение. К подобным действиям можно отнести обработку атрибута read-only, снятие его перед заражением и восстановление после. Многие файловые вирусы считывают дату последней модификации файла и восстанавливают ее после заражения. Для маскировки своего распространения некоторые вирусы перехватывают прерывание ОС, возникающее при обращении к защищенному от записи диску (INT 24h), и самостоятельно обрабатывают его.

Скорость распространения

Говоря про файловые вирусы, необходимо отметить такую их черту, как скорость распространения. Чем быстрее распространяется вирус, тем вероятнее возникновение эпидемии этого вируса. Чем медленнее распространяется вирус, тем сложнее его обнаружить (если, конечно же, этот вирус пока неизвестен антивирусным программам). Понятия "быстрого" и "медленного" вируса (Fast infector, Slow infector) являются достаточно относительными и используются только как характеристика вируса при его описании.

Нерезидентные вирусы часто являются "медленными" - большинство из них при запуске заражает один или два-три файла и не успевает заполонить компьютер до запуска антивирусной программы (или появления новой версии антивируса, настроенной на данный вирус). Существуют, конечно же, нерезидентные "быстрые" вирусы, которые при запуске ищут и заражают все выполняемые файлы, однако такие вирусы очень заметны: при запуске каждого зараженного файла компьютер некоторое (иногда достаточно долгое) время активно работает с винчестером, что демаскирует вирус.

"Скорость" резидентных вирусов обычно выше, чем нерезидентных - они заражают файлы при каких-либо обращениях к ним. В результате на диске оказываются зараженными все или почти все файлы, которые постоянно используются в работе.

Скорость распространения резидентных файловых вирусов, заражающих файлы только при их запуске на выполнение, будет ниже, чем у вирусов, заражающих файлы и при их открытии, переименовании, изменении атрибутов файла и т.д. Многие вирусы при создании своей копии в оперативной памяти компьютера пытаются занять область памяти с самыми старшими адресами, разрушая временную часть командного интерпретатора COMMAND.COM. По окончании работы зараженной программы временная часть интерпретатора восстанавливается, при этом происходит открытие файла COMMAND.COM и, если вирус заражает файлы при их открытии, его заражение. Таким образом, при запуске подобного вируса первым будет заражен файл COMMAND.COM.

Материалы и данные были взяты с ресурсов:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info

• Для комментирования войдите или зарегистрируйтесь