Çfarë virusesh kompjuterike ekzistojnë? Metodat e luftës? Karakteristikat e viruseve kompjuterike. Kontrollimi i statusit të sistemit të skedarëve FAT

VIRUSET KOMPJUTERIKE

Dhe skedarë të kontestuar dhe të infektuar
Klasifikimi i viruseve PARANDALIMI DHE LUFTA KUNDËR VIRUSEVE KOMPJUTERIKE

PREZANTIMI

Aktualisht, shumë fusha të veprimtarisë njerëzore janë të lidhura me përdorimin e kompjuterëve. Pse këto makina elektronike janë të ngulitura kaq fort në jetën tonë? Gjithçka është goxha e parëndësishme. Ata kryejnë llogaritje rutinë dhe punë projektuese, duke e çliruar trurin tonë për detyra më të nevojshme dhe të përgjegjshme. Si rezultat, lodhja zvogëlohet në mënyrë dramatike dhe ne fillojmë të punojmë shumë më produktiv sesa pa përdorimin e një kompjuteri.
Mundësitë e kompjuterëve modernë mahnitin imagjinatën më pjellore. Ata janë në gjendje të kryejnë disa detyra paralelisht, kompleksiteti i të cilave është mjaft i lartë. Prandaj, disa prodhues po mendojnë për krijimin e inteligjencës artificiale. Edhe tani, puna e një kompjuteri i ngjan punës së një asistenti elektronik inteligjent të një personi.
Por kush do ta kishte menduar se kjo mrekulli elektronike e teknologjisë karakterizohet nga sëmundje të ngjashme me ato njerëzore. Ai, ashtu si një person, mund të sulmohet nga një “virus”, por një kompjuter. Dhe nëse nuk ndërmerrni masa, kompjuteri së shpejti do të "sëmuret" dmth. do të fillojë të kryejë veprime të gabuara ose do të "vdes" fare. dëmi i shkaktuar nga “virusi” do të jetë shumë serioz. Çfarë janë viruset kompjuterike dhe si të merreni me to do të diskutohet më tej.

VIRUSET KOMPJUTERIKE

Çfarë është një virus kompjuterik?

Sot, ekzistojnë disa lloje kryesore të malware:
- virus klasik kompjuterik;
- "Trojan" ose kalë troje (troj);
- krimb;
- spiun ose spiun, keyloger
- rootkick;
- bot ose mumje.

Në një kohë, ishin viruset klasikë ata që ishin më të përhapurit - por krijuesit e tyre rrallë i vendosnin vetes një qëllim specifik për të dëmtuar përdoruesin përfundimtar, por më tepër u krijuan për qëllime njohëse. Shkrimtarët e sotëm të viruseve ndjekin qëllime absolutisht të qarta dhe të kuptueshme - paratë, dhe "pasardhësit" e tyre janë bërë shumë më të rrezikshëm se paraardhësit e tyre. Pra, më lejoni të prezantoj grabitqarët më të rrezikshëm të hapësirës së sotme të informacionit - Trojans dhe Worms.
Trojan ose troj e mori emrin nga ngjashmëria midis metodës së infektimit dhe lëvizjes së famshme taktike gjatë rrethimit të Trojës. Një shembull i një infeksioni trojan - ju merrni një letër nga një "mik" i caktuar me tekstin: - "Përshëndetje! Sapo u ktheva nga deti - pata një pushim kaq të lezetshëm! Këtu janë fotot e mia - shikoni.", dhe bashkangjitur skedarë me shtesën ".JPG". Të njëjtat skedarë janë kali i Trojës në thellësi të të cilit fshihet kodi keqdashës. Burimet më të zakonshme të infeksionit janë emailet, faqet e takimeve, faqet muzikore dhe faqet e softuerit falas. Çfarë bën Trojani? Si rregull, detyra e saj është të hapë rrugën për viruset e tjera, për të vepruar si pikëmbështetja e parë. Si të shmangni infektimin me një Trojan? Gjithçka këtu është si në jetë - mbroni veten dhe shmangni lidhjet e rastësishme =). Ky rregull është i vërtetë për çdo virus dhe malware tjetër. Nëse ju është dërguar një e-mail - përpara se të shikoni skedarët e bashkangjitur, kontrolloni dërguesin, ruajeni bashkëngjitjen në kompjuterin tuaj dhe kontrolloni atë me një antivirus dhe vetëm atëherë hapeni.

Krimbi ose Worm është një veçori e këtyre programeve në evolucion dhe autonomi. Kur një krimb futet në një kompjuter, ai zakonisht sulmon programet e postës dhe faqet e internetit. Pasi fiton akses në postë ose pager, ai fillon të dërgojë letra / mesazhe që përmbajnë një version të modifikuar të tij. Pas kësaj, ai ose vetë-shkatërrohet ose infekton skedarët e ekzekutueshëm (EXE, COM, BAT). Meqenëse virusi ndryshon vetë, ai është i paprekshëm derisa të zbulohet në bazën e të dhënave tuaja antivirus. Kjo është arsyeja pse sot një antivirus i licencuar është një domosdoshmëri absolute për çdo pronar kompjuteri.

Një virus kompjuterik është një program i vogël i shkruar posaçërisht që mund t'i "atribuojë" veten programeve të tjera (d.m.th., t'i "infektojë" ato), si dhe të kryejë veprime të ndryshme të padëshiruara në kompjuter. Programi që përmban virusin quhet i infektuar. Kur një program i tillë fillon të funksionojë, virusi së pari merr kontrollin. Virusi gjen dhe "infekton" programe të tjera, dhe gjithashtu kryen disa veprime të dëmshme (për shembull, korrupton skedarët ose tabelën e ndarjes së skedarëve (FAT) në disk, "bllokon" RAM-in, etj.). Për të maskuar një virus, veprimet për të infektuar programe të tjera dhe për të shkaktuar dëme mund të mos kryhen gjithmonë, por, të themi, kur plotësohen disa kushte. Pasi virusi kryen veprimet që i nevojiten, ai transferon kontrollin në programin në të cilin ndodhet dhe funksionon si zakonisht. Kështu, nga pamja e jashtme, puna e një programi të infektuar duket e njëjtë me një të pa infektuar.
Shumë lloje virusesh janë krijuar në atë mënyrë që kur lëshohet një program i infektuar, virusi mbetet në kujtesën e kompjuterit dhe herë pas here infekton programet dhe kryen veprime të padëshiruara në kompjuter.
Të gjitha veprimet e virusit mund të kryhen shumë shpejt dhe pa lëshuar asnjë mesazh, prandaj është shumë e vështirë, pothuajse e pamundur që përdoruesi të përcaktojë se diçka e pazakontë po ndodh në kompjuter.
Për sa kohë që ka relativisht pak programe të infektuara në kompjuter, prania e një virusi mund të jetë pothuajse e padukshme. Sidoqoftë, pas ca kohësh, diçka e çuditshme fillon të ndodhë në kompjuter, për shembull:
- disa programe ndalojnë së punuari ose fillojnë të punojnë gabimisht;
- në ekran shfaqen mesazhe të jashtme, simbole etj.;
- puna në kompjuter ngadalësohet ndjeshëm;
- disa skedarë janë të dëmtuar, etj.
Në këtë kohë, si rregull, shumë (ose edhe shumica) e programeve teknike me të cilat punoni tashmë janë të infektuar me një virus, dhe disa skedarë dhe disqe janë të korruptuar. Për më tepër, programet e infektuara nga kompjuteri juaj mund të jenë transferuar tashmë duke përdorur disqe ose një rrjet lokal në kompjuterët e kolegëve dhe miqve tuaj.
Disa viruse janë shumë të poshtër. Në fillim, ata infektojnë në mënyrë të padukshme një numër të madh programesh dhe disqesh, dhe më pas shkaktojnë dëme shumë serioze, për shembull, formatojnë të gjithë hard diskun në një kompjuter, natyrisht, pas kësaj, është thjesht e pamundur të rikuperoni të dhënat. Dhe ka viruse që sillen shumë fshehurazi dhe pak nga pak prishin të dhënat në hard disk ose zhvendosin tabelën e ndarjes së skedarëve (FAT).
Kështu, nëse nuk merrni masa për t'u mbrojtur nga virusi, pasojat e infeksionit mund të jenë shumë serioze. Për shembull, në fillim të vitit 1989. Virusi, i shkruar nga studenti amerikan Morris, infektoi dhe çaktivizoi mijëra kompjuterë, përfshirë ata që i përkisnin Departamentit të Mbrojtjes të SHBA. Autori i virusit është dënuar nga gjykata me tre muaj burg dhe 270 mijë dollarë gjobë. Dënimi mund të ishte më i rreptë, por gjykata mori parasysh që virusi nuk i prishi të dhënat, por vetëm u shumëfishua.
Në mënyrë që programi-virus të jetë i padukshëm, ai duhet të jetë i vogël në madhësi. Prandaj, viruset zakonisht shkruhen në gjuhë asembler të nivelit të ulët ose komanda të gjuhës C të nivelit të ulët.
Viruset janë shkruar nga programues ose studentë me përvojë thjesht për kuriozitet ose për t'u hakmarrë ndaj dikujt ose një ndërmarrje që i ka trajtuar në mënyrë të papërshtatshme ose për qëllime sabotazhi komercial ose të synuar. Çfarëdo qëllimi që ndjek autori, virusi mund të përfundojë në kompjuterin tuaj dhe do të përpiqet të kryejë të njëjtat veprime të dëmshme si ai për të cilin është krijuar.
Duhet të theksohet se shkrimi i një virusi nuk është një detyrë aq e vështirë, mjaft e arritshme për një student që studion programim. Prandaj, çdo javë gjithnjë e më shumë viruse shfaqen në botë. Dhe shumë prej tyre prodhohen në vendin tonë.

Skedarët e korruptuar dhe të infektuar

Një virus kompjuterik mund të prishet, d.m.th. modifikoni në mënyrë të pahijshme çdo skedar në disqet e kompjuterit tuaj. Por virusi mund të "infektojë" disa lloje skedarësh. Kjo do të thotë që një virus mund të "infiltrojë" në këto skedarë, d.m.th. modifikojini ato në mënyrë që të përmbajnë një virus që, në disa rrethana, mund të fillojë të funksionojë.
Duhet të theksohet se tekstet e programeve dhe dokumenteve, skedarët e informacionit të bazave të të dhënave, tabelat e përpunuesve të tabelave dhe skedarët e tjerë të ngjashëm nuk mund të infektohen nga një virus i zakonshëm, ai vetëm mund t'i prishë ato. Skedarë të tillë mund të infektohen vetëm me Macro viruse. Këta viruse madje mund të infektojnë dokumentet tuaja.
Regjistrimi i ngarkuesit të sistemit operativ dhe kryesor i nisjes së diskut të ngurtë. Viruset që infektojnë këto zona quhen viruse boot ose viruse BOOT. Një virus i tillë fillon punën e tij kur kompjuteri ndizet dhe bëhet rezident, d.m.th. qëndron në memorien e kompjuterit. Mekanizmi i shpërndarjes - infektimi i të dhënave të nisjes së disketave të futura në kompjuter. Viruse të tilla shpesh përbëhen nga dy pjesë, sepse regjistrimi i nisjes është i vogël dhe është e vështirë të vendoset i gjithë programi i virusit në to. Një pjesë e virusit ndodhet në një pjesë tjetër të diskut, për shembull, në fund të drejtorisë rrënjësore të diskut ose në një grup në zonën e të dhënave të diskut (zakonisht një grup i tillë deklarohet i dëmtuar në mënyrë që të parandaloni që virusi të mbishkruhet kur shkruani të dhëna).
Skedarët e drejtuesve të pajisjes të referuara në klauzolën DEVICE të skedarit CONFIG.SYS. Virusi në to fillon punën e tij me çdo hyrje në pajisjen përkatëse. Viruset që infektojnë drejtuesit e pajisjes janë shumë të rrallë sepse drejtuesit rrallë rishkruhen nga një kompjuter në tjetrin. E njëjta gjë vlen edhe për skedarët e sistemit DOS (MSDOS.SYS dhe IO.SYS) - infektimi i tyre është gjithashtu teorikisht i mundur, por është i paefektshëm për përhapjen e virusit.

Në mënyrë tipike, çdo lloj i veçantë virusi mund të infektojë vetëm një ose dy lloje skedarësh. Viruset më të zakonshëm janë ata që infektojnë skedarët e ekzekutueshëm. Viruset e çizmeve janë në vendin e dytë për sa i përket prevalencës. Disa viruse infektojnë si skedarët ashtu edhe zonat e nisjes së diskut. Viruset që infektojnë drejtuesit e pajisjes janë jashtëzakonisht të rrallë dhe zakonisht viruse të tillë mund të infektojnë edhe skedarë të ekzekutueshëm.

Klasifikimi i viruseve

Viruset mund të ndahen në klasa sipas kritereve të ndryshme. Për shembull, në bazë të tradhtisë:

Viruset që infektojnë në çast një kompjuter të formatojnë hard diskun, prishin tabelën e ndarjes së skedarëve, prishin sektorët e nisjes, fshijnë të ashtuquajturin Flash ROM (ku ndodhet BIOS) të kompjuterit (virusi i Çernobilit), me fjalë të tjera, shkaktojnë të pariparueshme dëmtimi i kompjuterit sa më shpejt të jetë e mundur. Këtu përfshihen edhe rezultatet e ankesave të programuesve të viruseve kundër programeve antivirus. Kjo i referohet të ashtuquajturave alergji ndaj disa programeve antivirus. Këto viruse janë mjaft të pabesë. Për shembull, një alergji ndaj Dr.Weber, kur telefononi këtë program, pa hezitim, bllokon antivirusin, prish gjithçka që është në drejtori me antivirusin dhe C: WINDOWS. Si rezultat, duhet të riinstaloni sistemin operativ dhe më pas të luftoni virusin me mjete të tjera.
- viruse të krijuara për një jetë të gjatë në kompjuter. Ata gradualisht dhe me kujdes infektojnë program pas programi, pa reklamuar praninë e tyre, dhe zëvendësojnë zonat e fillimit të programit për lidhjet me vendin ku ndodhet trupi i virusit. Përveç kësaj, ata bëjnë një ndryshim në strukturën e diskut të padukshëm për përdoruesin, i cili do të ndihet vetëm kur disa të dhëna humbasin pa shpresë (për shembull, virusi "OneHalf-3544", "Yankey-2C").
Ndarja mund të bëhet edhe në bazë të metodave të transmetimit dhe riprodhimit.
Më parë, viruset infektojnë kryesisht vetëm skedarë të ekzekutueshëm (me shtesat .com dhe.exe). Në të vërtetë, në fund të fundit, një virus është një program dhe duhet të ekzekutohet.
Tani viruset dërgohen me e-mail si programe demo ose si foto, për shembull, nëse e keni marrë skedarin "PicturesForYou.jpg" me e-mail, mos nxitoni ta shikoni, veçanërisht pasi ai erdhi nga askund. Nëse e shikoni emrin më nga afër, rezulton se ai ka 42 hapësira të tjera dhe zgjerimin aktual .exe. Kjo do të thotë, emri aktual i plotë i skedarit do të jetë si ky:
"PicturesForYou.jpg .exe". Tani kushdo mund të kuptojë se çfarë mbart në të vërtetë kjo foto. Ky nuk është një skedar fotografie që, kur aktivizohet, thërret shikuesin e fotove, por një virus i pacipë, pak i mbuluar, që thjesht pret të aktivizohet me një klikim të mausit ose një shtypje tasti. Ju shkarkoni një virus të tillë në kompjuterin tuaj, nën guaskën e një fotografie, si një "kalë trojan". Prandaj termi zhargon për viruse të tilla si Trojans.
Për momentin ka predha të tilla kanalesh informacioni si Internet Explorer, Outlook Express, Microsoft Office. Tani ka disa klasa të të ashtuquajturave "Makro-viruse". Ato përmbajnë komanda të fshehura për të dhënat e guaskës që janë të padëshirueshme për përdoruesin mesatar. Dhe ky kod nuk është më kodi për kompjuterin, domethënë nuk është më një program, por teksti i një programi të ekzekutuar nga shell. Kështu, mund të shkruhet në çdo format të kërkuar: .html, .htm - për Internet Explorer, .doc, .xls, .xlw, .txt, .prt, ose ndonjë tjetër - për Microsoft Office, etj. Viruse të tilla shkaktojnë dëm vetëm të një natyre të caktuar, sepse guaska nuk ka komanda, për shembull, për të formatuar hard diskun. Sidoqoftë, ky lloj virusesh meriton vëmendje, sepse me ndihmën e hiperlidhjeve të fshehura është në gjendje të shkarkojë në mënyrë të pavarur trupin e virusit nga Interneti në kompjuterin tuaj, dhe disa viruse janë në gjendje të përditësohen dhe shkarkohen pjesërisht përmes Internetit nga disa serverët. Për shembull, një nga studentët japonezë zhvilloi pikërisht një virus të tillë që lidh një "shkarkues" të vogël me çdo format të hyrjes nga Interneti. Më tej, ky shkarkues shkarkon trupat e virusit nga Interneti nga serveri me adresën IP të Babilon5. Janë katër prej këtyre trupave. Secili prej tyre është i aftë të shkatërrojë në mënyrë të pavarur kompjuterin tuaj, por ka një qëllim specifik. Ky virus është në llojin e një hibrid midis makro viruseve dhe viruseve të zakonshëm. Por duhet të theksohet se janë hibridet që janë më këmbëngulësit, dinakë, të rrezikshëm dhe të shumtë midis viruseve. Kohët e fundit, pati një skandal në lidhje me një programues i cili, sipas ekspertëve, krijoi dhe filloi të përhapte një makro-virus që infektonte skedarët e tekstit për Microsoft Word. Është llogaritur nga data dhe ora e krijimit të dokumentit origjinal, i cili ruhet në pjesë të padukshme të skedarëve .doc. Është e mundur që skedari të jetë krijuar nga një person tjetër para se t'i bashkëngjitet një virus, atëherë pyetja për sulmuesin mbetet e hapur. Por ekspertët thonë se kjo është ajo.
Për shembull, virusi Win32.HLLM.Klez. një nga varietetet e një krimbi të rrezikshëm të rrjetit përhapet duke dërguar kopje të tij me e-mail. Përveç kësaj, ky krimb mund të përhapet në një rrjet lokal, duke infektuar kompjuterët disqet e të cilëve janë burime të përbashkëta të rrjetit që janë të disponueshme për shkrim. Pasi të jetë në sistem, krimbi dërgohet në adresat që gjenden në librin e adresave të Windows, në bazën e të dhënave ICQ dhe në skedarët lokalë. Mesazhet e infektuara të dërguara nga ky krimb shfrytëzojnë një nga gabimet relativisht të njohura në sistemin e sigurisë Internet Explorer, i cili lejon që një skedar programi (me një virus) i bashkangjitur një mesazhi të lëshohet automatikisht kur thjesht shikoni postën në Outlook dhe Outlook Express .
Le të përpiqemi të shqyrtojmë metodat e kamuflimit dhe mbrojtjes të përdorura nga viruset kundër nesh përdoruesve të zakonshëm dhe programeve antivirus.
Tradhtia është mënyra kryesore dhe më e shpejtë për të bërë një mashtrim të pistë përpara se të zbulohet. Për shembull, virusi i Çernobilit fshin plotësisht BIOS-in (programi fillestar i vendosur në çipin ROM që e bën kompjuterin të funksionojë). Pas kësaj, kompjuteri nuk do të jetë në gjendje të shfaqë asgjë. Por puna e tij bllokohet lehtësisht nëse brenda kompjuterit është instaluar një ndërprerës që ndalon shkrimin në zonën ROM. Prandaj, ishte i pari, por edhe, siç mendoj, përfaqësuesi i fundit i viruseve harduerike.
Viruset rigjeneruese e ndajnë trupin e tyre në disa pjesë dhe i ruajnë në vende të ndryshme në hard disk. Prandaj, këto pjesë janë në gjendje të gjejnë në mënyrë të pavarur njëra-tjetrën dhe të mblidhen për rigjenerimin e trupit të virusit. Programi antivirus zbulon dhe vret vetëm trupin e virusit, dhe pjesët e këtij trupi nuk përfshihen në bazën e të dhënave antivirus, pasi ato janë modifikuar. Formatimi i synuar i nivelit të ulët të diskut të ngurtë ndihmon kundër viruseve të tilla. Paraprakisht, duhet të merrni masa të kujdesshme për të ruajtur informacionin.
Viruset dinak fshihen jo vetëm nga ne, por edhe nga programet antivirus. Këta "kameleon" modifikojnë veten me ndihmën e operacioneve më dinake dhe më të ndërlikuara, duke përdorur të dhënat aktuale (kohën e krijimit të skedarit) dhe duke përdorur pothuajse gjysmën e të gjithë grupit të udhëzimeve të procesorit. Në një moment, natyrisht, sipas një algoritmi dinak, ata kthehen në një virus të poshtër dhe fillojnë të merren me kompjuterin tonë. Ky është lloji më i vështirë i virusit për t'u zbuluar, por disa programe antivirus, si "Dr. Weber", janë në gjendje të zbulojnë dhe neutralizojnë viruse të ngjashme duke përdorur të ashtuquajturën analizë heuristike.
Viruset e “padukshme” përdorin të ashtuquajturën metodë “Stelth” për të parandaluar zbulimin e tyre. Ai konsiston në faktin se një virus rezident në memorie përgjon DOS (dhe kështu programet e aplikacionit) thirrjet në skedarë dhe zona të diskut të infektuar dhe i shfaq ato në formën e tyre origjinale (të pa infektuar). Sigurisht, ky efekt vërehet vetëm në një kompjuter të infektuar - në një kompjuter "të pastër", ndryshimet në skedarët dhe zonat e nisjes së diskut mund të zbulohen lehtësisht. Megjithatë, disa programe antivirus mund të zbulojnë viruse të padukshme edhe në kompjuterët e infektuar.
Krimbi i rrjetit Randon u shfaq në mars 2003. Ai përhapet përmes kanaleve IRC dhe burimeve të rrjetit lokal dhe infekton kompjuterët që përdorin sistemet operative Windows 2000 dhe Windows XP. Për të depërtuar në një kompjuter, ai lidhet me një rrjet lokal ose një server IRC, skanon përdoruesit në të, krijon një lidhje me ta në portin 445 dhe përpiqet të gjejë një fjalëkalim nga lista e integruar e frazave më të përdorura. Nëse sistemi është komprometuar me sukses, Random dërgon Apher Trojan në sistem, i cili nga ana e tij shkarkon pjesën tjetër të komponentëve të krimbit nga një faqe interneti e largët. Pas kësaj "Randon" instalon përbërësit e tij në drejtorinë e sistemit Windows, regjistron skedarin e tij kryesor. Për të fshehur praninë në memorie, ai përdor një mjet të veçantë "HideWindows", i cili është gjithashtu një komponent i krimbit. Falë tij, ai është i padukshëm për përdoruesin, kështu që procesi aktiv "Randon" mund të zbulohet vetëm në menaxherin e detyrave të Windows. Efektet anësore të tij janë krijimi i një sasie të madhe trafiku të tepërt në makinën e infektuar dhe tejmbushja e kanaleve IRC.
Sipas Kaspersky Lab, një nga zhvilluesit kryesorë të programeve anti-virus, ai ofron një përmbledhje të aktivitetit të virusit për Mars 2003 (Tabela 2 dhe Fig. 1)

Top 20 programet me qëllim të keq më të zakonshëm

Tab. 2
Emri Pjesë në numrin total të incidenteve të virusit (%)
1. I-Worm.Klez 37.60%
2. I-Worm.Sobig 10.75%
3. I-Worm.Lentin 9.03%
4. I-Worm.Avron 3.30%
5. Makro.Word97.Kështu 2.62%
6. I-Worm.Tanatos 1.38%
7. Makro. Word97.Marker 1.21%
8. Worm.Win32.Opasoft 1.13%
9. I-Worm.Hybris 1.04%
10. Win95.CIH 0,69%
11. Worm.Win32.Randon 0.58%
12. VBS.Redlof 0.57%
13. Backdoor.Vdekja 0.51%
14. Win95.Spaces 0.51%
15. I-Worm.Roron 0.49%
16.Trojan.PSW.Gip 0.49%
17. Backdoor.NetDevil 0.48%
18. Win32.HLLP.Hantaner 0.45%
19. TrojanDropper.Win32.Delf 0.42%
20. TrojanDropper.Win32.Yabinder 0.41%
Malware të tjerë * 26.33%

* Nuk përfshihet në 20 më të zakonshmet

PARANDALIMI DHE LUFTIMI KUNDËR VIRUSEVE KOMPJUTERIKE

Metodat themelore të mbrojtjes kundër viruseve kompjuterike

Për t'u mbrojtur nga viruset, mund të përdorni:
- Mjete të përgjithshme të mbrojtjes së informacionit, të cilat janë gjithashtu të dobishme si sigurim ndaj dëmtimit fizik të disqeve, programeve që nuk funksionojnë siç duhet ose veprimeve të gabuara të përdoruesve;
- masat parandaluese për të reduktuar gjasat e kontraktimit të një virusi kompjuterik;
- programe të specializuara për mbrojtjen nga viruset.
-Mjetet e përgjithshme të sigurisë së informacionit janë të dobishme për më shumë sesa thjesht për të mbrojtur kundër viruseve. Ekzistojnë dy lloje kryesore të këtyre mjeteve juridike:
kopjimi i informacionit - krijimi i kopjeve të skedarëve dhe zonave të sistemit të disqeve;
Kufizimi i aksesit parandalon përdorimin e paautorizuar të informacionit, në veçanti, mbrojtjen kundër ndryshimeve në programe dhe të dhëna nga viruset, programet e gabuara dhe veprimet e gabuara të përdoruesve.
Ndërsa mjetet e përgjithshme të sigurisë së informacionit janë shumë të rëndësishme për mbrojtjen kundër viruseve kompjuterike, ato nuk janë të mjaftueshme. Është e nevojshme të përdoren programe të specializuara për t'u mbrojtur nga viruset kompjuterike. Këto programe mund të ndahen në disa lloje:
Programet e detektorit mund të zbulojnë skedarë të infektuar me një nga disa viruse të njohur.
Programet - mjekët, ose fagët, programet ose disqet e infektuara "kurojnë viruse", "duke kafshuar" trupin e virusit nga programet e infektuara, d.m.th. rivendosja e programit në gjendjen në të cilën ishte para infektimit me virus.
Programet - auditorët fillimisht mësojnë përmendësh informacionin rreth gjendjes së programeve dhe zonave të sistemit të disqeve, dhe më pas krahasojnë gjendjen e tyre me origjinalin. Nëse identifikohen mospërputhje, përdoruesi informohet për këtë.
Mjekët - auditorët janë hibride të auditorëve dhe mjekëve, d.m.th. programe që jo vetëm zbulojnë ndryshimet në skedarët dhe zonat e sistemit të disqeve, por mund t'i kthejnë ato automatikisht në gjendjen e tyre origjinale.
Programet - filtrat janë të vendosur në RAM-in e kompjuterit dhe përgjojnë ato thirrje në sistemin operativ që përdoren nga viruset për t'u shumuar dhe dëmtuar dhe i raportojnë ato te përdoruesi. Përdoruesi mund të aktivizojë ose çaktivizojë operacionin përkatës.
Programet - vaksinat, ose imunizuesit, modifikojnë programet dhe disqet në atë mënyrë që kjo të mos ndikojë në funksionimin e programeve, por virusi nga i cili kryhet vaksinimi i konsideron këto programe dhe disqe tashmë të infektuara. Këto programe janë shumë joefektive dhe nuk konsiderohen më tej.
Fatkeqësisht, asnjë lloj i vetëm i softuerit antivirus nuk ofron mbrojtje të plotë kundër viruseve kompjuterike. Prandaj, strategjia më e mirë për t'u mbrojtur nga viruset është një mbrojtje me shumë nivele, "echelon". Le të përshkruajmë strukturën e kësaj mbrojtjeje.
Mjetet e inteligjencës në "mbrojtjen" kundër viruseve korrespondojnë me programet - detektorë që lejojnë kontrollimin e softuerit të sapo pranuar për viruse.
Në ballë të mbrojtjes janë programet e filtrit (programet rezidente për të mbrojtur kundër viruseve). Këto programe mund të jenë të parët që raportojnë një sulm virusi dhe parandalojnë infektimin e programeve dhe diskut.
Shkalla e dytë e mbrojtjes përbëhet nga programet e auditimit, programet e mjekëve dhe mjekët-auditorë. Ekzaminuesit zbulojnë një sulm edhe kur virusi ka arritur të "depërtojë" në vijat e para të mbrojtjes. Programet e doktorit përdoren për të rivendosur programet e infektuara nëse kopjet e tyre nuk janë në arkiv. Por ata jo gjithmonë i trajtojnë siç duhet. Mjekët-inspektorët zbulojnë një sulm virusi dhe trajtojnë viruset - skedarët e infektuar, dhe kontrollojnë korrektësinë e trajtimit të virusit, dhe nëse është e pamundur të trajtohen viruset, ata rekomandojnë patjetër heqjen e viruseve (skedarët e infektuar).
Shkalla më e thellë e mbrojtjes është mjeti i diferencimit të aksesit. Ato parandalojnë që viruset dhe programet që funksionojnë keq, edhe nëse kanë hyrë në kompjuterin tuaj, të prishin të dhëna të rëndësishme.
Dhe, së fundi, "rezerva strategjike" përmban kopje të arkivuara të informacionit dhe disqe "referenca" me produkte softuerike. Ato ju lejojnë të rikuperoni informacionin nëse është i dëmtuar në hard disk.

Programet - detektorë dhe mjekë

Në shumicën e rasteve, mund të gjenden programe detektori të zhvilluara tashmë për të zbuluar një virus që ka infektuar një kompjuter. Këto programe kontrollojnë për të parë nëse skedarët në diskun e specifikuar nga përdoruesi kanë një kombinim bajtash specifik për virusin. Nëse gjendet në ndonjë skedar, një mesazh përkatës shfaqet në ekran. Shumë detektorë kanë një kurë virusi ose mënyrë heqjeje virusi.
Duhet të theksohet se programi i detektorit mund të zbulojë vetëm ato viruse që janë të njohura për të (d.m.th. të futura në bazën e të dhënave antivirus të këtij programi).
Një nga këto programe është KIS i Kaspersky.
Çdo gjë në të ka një ndërfaqe të përshtatshme dhe intuitive. Programi është krijuar për sistemin operativ Windows XP dhe Windows Vista, i cili e lejon atë të punojë paralelisht me aplikacionet e tjera. Kaspersky Lab është lideri rus në zhvillimin e sistemeve të sigurisë antivirus.
Ekziston edhe AVAST.
Këta janë mbrojtës të mirë-provuar të kompjuterit tuaj - trajtimi i shumicës së viruseve dhe heqja e viruseve në rast të kërcënimit të tyre kritik ose të pashërueshëm.
Shumica e programeve të detektorit kanë edhe funksionin "doktor", d.m.th. ata përpiqen të kthejnë skedarët e infektuar dhe zonat e diskut në gjendjen e tyre origjinale - për të pastruar viruset. Skedarët që nuk mund të dezinfektoheshin zakonisht bëhen të pafuqishëm ose fshihen.

Parandalimi i infeksionit me virus

Le të hedhim një vështrim në disa nga masat që mund të merrni për të reduktuar gjasat që një virus të infektojë kompjuterin tuaj, si dhe për të minimizuar dëmtimin nga një infeksion virusi nëse ndodh.
1. Do të ishte mirë të kishim dhe, nëse është e nevojshme, të përditësoni kopje të arkivuara dhe kryesore të paketave dhe të dhënave të softuerit të përdorur. Para se të bëni kopje rezervë të të dhënave, këshillohet që t'i kontrolloni ato për një virus.
2. Këshillohet gjithashtu që të kopjoni informacionin e shërbimit të diskut (FAT, sektorët e nisjes) dhe CMOS (memorie kompjuteri jo të paqëndrueshme) në disqe. Mund të rezervoni dhe rivendosni këtë informacion duke përdorur programin Rescue në paketën e softuerit Norton Utilities.
3. Duhet të vendosni mbrojtjen e shkrimit në disketat e arkivit.
4. Nuk duhet të përfshiheni në kopjim të palicensuar dhe të paligjshëm të softuerit nga kompjuterë të tjerë. Ata mund të kenë një virus mbi to.
5. Të gjitha të dhënat që vijnë nga jashtë duhet të kontrollohen për viruse, veçanërisht skedarët e "shkarkuar" nga interneti.
6. Është e nevojshme të përgatitet paraprakisht një paketë rikuperimi në disketa me mbrojtje nga shkrimi.
7. Gjatë punës normale, që nuk lidhet me rikuperimin e kompjuterit, ia vlen të çaktivizoni nisjen nga një disketë. Kjo do të parandalojë infektimin me virusin e nisjes.
8. Përdorni programe - filtra për zbulimin e hershëm të viruseve.
9. Kontrolloni periodikisht diskun me detektorë softuerësh ose mjekë - detektorë ose auditorë për të zbuluar dështimet e mundshme në mbrojtje.
10. Përditësoni bazën e të dhënave të programeve antivirus.
11. Mbani përdoruesit e dyshimtë larg kompjuterit tuaj.

PËRFUNDIM

Si përfundim, do të doja të paralajmëroja kundër luftës shumë të zellshme kundër viruseve kompjuterike. Kryerja e një skanimi të plotë të hard drive-it tuaj për viruse çdo ditë nuk është gjithashtu një hap i mirë në parandalimin e infeksioneve. E vetmja mënyrë e civilizuar për t'u mbrojtur nga viruset, e shoh në respektimin e masave parandaluese kur punoni në kompjuter. Dhe gjithashtu ju duhet të drejtoheni në ndihmën e specialistëve për të luftuar një virus kompjuterik. Përveç kësaj, edhe nëse një virus depërton në kompjuterin tuaj, nuk ka asnjë arsye për panik.
Shpesh, telashet kryesore të internetit nuk janë viruset dhe hakerat, por një fenomen kaq i përhapur si analfabetizmi kompjuterik. Duke përdorur analogjinë e Kaspersky, mosnjohja e rregullave të rrugës. Njerëzit që kanë mësuar kohët e fundit të marrin dhe dërgojnë postë demonizojnë viruset kompjuterike, pothuajse duke i imagjinuar ato si krimba të zinj të padukshëm që zvarriten përgjatë telave. Këtu janë disa rregulla të thjeshta që mund të ndiqni për të mos u infektuar me viruse. Së pari: ata nuk kanë frikë nga viruset kompjuterike, janë të gjitha të shërueshme. Së dyti: vendosja e Microsoft Outlook në një mënyrë funksionimi në zonën e vendeve të kufizuara, gjë që do ta pengojë atë të ekzekutojë automatikisht programe të caktuara - parimi bazë i përhapjes së viruseve kompjuterike. Së treti: mos hapni letra nga marrës të dyshimtë. Së katërti: përdorni një antivirus të freskët, dhe më e rëndësishmja, të LICENSUAR.

Artikulli që po lexoni tani i kushtohet problemeve të rikuperimit të të dhënave në ndarjet e sistemit të skedarëve FAT që hasen në kompjuterë me sisteme operative MS-DOS dhe Microsoft Windows të versioneve të ndryshme. Sidoqoftë, informacioni i dhënë në të, në lidhje me cilësimet e BIOS dhe disa struktura të diskut, do të jetë gjithashtu i dobishëm kur rikuperoni skedarët në ndarjet e sistemit të skedarëve NTFS.

Si rregull, përpjekjet për të rikuperuar të dhënat në një ndarje FAT fillojnë me përdorimin e shërbimeve automatike. Në rastet kur shërbimet e rikuperimit automatik nuk mund t'ju ofrojnë ndonjë ndihmë, mund të përpiqeni ta bëni këtë punë me dorë duke përdorur redaktuesin e diskut. Për ta bërë këtë, megjithatë, do t'ju duhet të përdorni redaktuesit e diskut dhe të merreni me strukturat e brendshme të sistemit të skedarëve.

Ne do t'i ndihmojmë përdoruesit e avancuar të kontrollojnë dhe riparojnë sistemin e skedarëve FAT duke përdorur Norton Disk Editor dhe Microsoft Disk Probe. Këto programe ju lejojnë të shikoni dhe modifikoni përmbajtjen e sektorëve individualë të diskut.

Në raste kritike, ne rekomandojmë fuqimisht që të mos bëni përpjekje të pavarura për të rivendosur, por të kontaktoni shërbimin DataRecovery.Ru për ndihmë. Nëse bëni një gabim serioz gjatë procesit të rikuperimit, të dhënat tuaja mund të humbasin përgjithmonë. Pra, përdorni rekomandimet e dhëna në artikull, por me rrezikun dhe rrezikun tuaj!

Kontrollimi i statusit të sistemit të skedarëve FAT

Cila është mënyra më e mirë për të filluar rikuperimin e të dhënave?

Rimëkëmbja e sistemit të skedarëve duhet të fillojë duke kontrolluar cilësimet e BIOS, si dhe gjendjen e vetë sistemit të skedarëve. Plani i mëposhtëm i veprimit mund të propozohet:

• kontrollimi i parametrave të BIOS;
• kontrollimi i përmbajtjes së Regjistrit Kryesor Boot (MBR) dhe Boot Record;
• ekzaminimi i tabelës së ndarjes së skedarëve FAT;
• kontrollimi i statusit të drejtorive;
• nxjerrja e skedarëve të nevojshëm nga sistemi i skedarëve të dëmtuar.

Kur kontrolloni cilësimet e BIOS-it, duhet t'i kushtoni vëmendje parametrave të tillë kryesorë si llojet e disqeve të instaluar në kompjuter, numri i gjurmëve dhe sektorëve për pjesë. Nëse këto parametra nuk janë vendosur si duhet, sistemi operativ ka shumë të ngjarë të dështojë të niset.

Shkatërrimi i përmbajtjes së memories jo të paqëndrueshme që ruan cilësimet e BIOS-it mund të ndodhë, për shembull, kur bateria që furnizon memorien dështon ose si rezultat i një virusi.

Më pas, duhet të kontrolloni përmbajtjen e të ashtuquajturit Master Boot Record (MBR). Kjo hyrje përmban programin bootstrap dhe tabelën e ndarjes. Programi bootstrap është objektivi i sulmit nga viruset boot dhe file-boot që shkruajnë trupat e tyre këtu. Nëse tabela e ndarjes së diskut dëmtohet si rezultat i një infeksioni me virus, mosfunksionimi i harduerit ose dështimi i softuerit, disa ose të gjithë disqet logjike do të jenë të paarritshme për sistemin operativ.

Hapi tjetër është të kontrolloni Boot Record që ndodhet në fillim të diskut logjik (mos e ngatërroni atë me MBR). Regjistri i nisjes përmban programin bootstrap për sistemin operativ të vendosur në diskun logjik, si dhe një bllok parametrash BIOS të quajtur BPB (BIOS Parameter Block). BPB përmban informacione të rëndësishme për diskun logjik, siç është madhësia e grupit. Nëse BPB dëmtohet nga një virus, ose si rezultat i një dështimi të harduerit ose softuerit, disku do të jetë i paarritshëm për sistemin operativ.

Pasi të keni kontrolluar rekordin e nisjes, duhet të shikoni tabelën e ndarjes së skedarëve FAT. Kjo tabelë përmban informacione kritike për vendndodhjen e grupimeve individuale për të gjithë skedarët e shkruar në një disk logjik të caktuar. Gjithsej janë dy kopje të tabelës FAT. Ju mund të përdorni çdo kopje të FAT për të rikuperuar skedarët.

Hapi tjetër është të kontrolloni drejtoritë rrënjësore të disqeve logjike, si dhe nëndrejtoritë. Nëse është e nevojshme, duhet të rivendosni hyrjet e dosjeve të dëmtuara që përshkruajnë skedarët që ju nevojiten.

Më poshtë do t'i hedhim një vështrim më të afërt të gjithë këtyre hapave. Gjatë rrugës, ne do të ofrojmë informacionin e nevojshëm për strukturat e brendshme më të rëndësishme të sistemit të skedarëve FAT.

Kontrollimi i cilësimeve të BIOS

Kur i afroheni për herë të parë një kompjuteri që mund të jetë infektuar me një virus, fillimisht duhet të kontrolloni cilësimet e BIOS të ruajtura në memorien CMOS jo të paqëndrueshme. Një program i veçantë i quajtur BIOS Setup përdoret për të parë dhe ndryshuar cilësimet e BIOS.

Mënyra se si lansohet programi i konfigurimit të BIOS varet nga prodhuesi dhe versioni i tij, megjithatë, ai zakonisht fillon nëse shtypni butonat Delete, F2 ose kombinimin e tastit Alt + Ctrl + Esc gjatë testit fillestar të RAM-it. Informacione më të sakta se si të ekzekutohet ky program mund të merren lehtësisht nga dokumentacioni i dhënë me pllakën amë të kompjuterit.

Fikni kompjuterin nëse ishte i ndezur dhe ndizeni përsëri pas 20-30 sekondash. Kjo procedurë është e garantuar të shkatërrojë viruset rezidente të memories që "mbijetojnë" pas një rifillimi të ngrohtë duke përdorur kombinimin e tastit Ctrl + Alt + Del.

Kur fillon testi i kujtesës, shtypni një nga çelësat e mësipërm për të nisur programin e konfigurimit të BIOS. Pas një kohe, dritarja e programit të BIOS Setup do të shfaqet në ekran. Pamja e saj varet nga prodhuesi dhe versioni i programit.

Para së gjithash, duhet të kontrolloni cilësimet e parazgjedhura të BIOS. Kushtojini vëmendje të veçantë llojeve dhe parametrave të disqeve të instaluara HD (Hard disk) dhe llojeve të disqeve FD (Floppy Drive).

Rishkruani parametrat e diskut të ngurtë si lloji, numri i cilindrave, kokat dhe sektorët për pjesë. Krahasoni këto vlera me të dhënat e pasaportës të marra nga dokumentacioni në hard disk dhe korrigjoni nëse është e nevojshme.

Lloji dhe parametrat e diskut

Nëse kompjuteri juaj ka disqe SCSI, lloji i diskut është i parëndësishëm dhe nuk keni nevojë ta kontrolloni atë. Sa i përket disqeve IDE, lloji i disqeve të tillë është një numër, zakonisht në rangun e vlerave nga 1 në 47.

Në të njëjtën kohë, grupet standarde të parametrave për disqe të vegjël të vjetër korrespondojnë me llojet nga 1 në 46. Për pajisjet moderne IDE, lloji zgjidhet automatikisht ose specifikohet lloji 47, i cili lejon vendosjen manuale të numrit të cilindrave, kokave dhe sektorëve për pistë. Në çdo rast, sigurohuni që të kontrolloni parametrat sipas dokumentacionit të dhënë me diskun.

Shumë shpesh, për disqet IDE, përdoret i ashtuquajturi adresim i bllokut logjik (LBA). Kur aktivizohet modaliteti LBA, sistemi operativ pajiset me një disk "virtual", i cili, në krahasim me një disk real, ka më pak gjurmë, por më shumë koka. Për shembull, një disk i vërtetë mund të ketë 4000 këngë dhe 4 koka, dhe një "virtual" mund të ketë 1024 këngë dhe 256 koka.

Pse është e nevojshme kjo?

Për shkak të kufizimeve të brendshme, sistemi operativ MS-DOS nuk mund të funksionojë me pista, numri i të cilave tejkalon vlerën e 1023. Megjithatë, disqet moderne të diskut kanë kapacitete të konsiderueshme (rreth 20-60 GB dhe madje edhe më shumë), kështu që ata kanë shumë gjurmë. Sisteme të tjera operative, të tilla si IBM OS / 2, Microsoft Windows NT / 2000, Linux ose Novell NetWare, nuk kanë një kufi në numrin e shtigjeve për adresim në një disk. Në vend të BIOS-it, ata përdorin drejtues të veçantë të diskut për të hyrë në disk.

Sa i përket MS-DOS, pa masa shtesë, madhësia maksimale e një ndarje të diskut nuk do të kalojë 585 MB.

Adresimi logjik i LBA-ve nga kontrolluesi i diskut lejon MS-DOS të merret me ndarje shumë të mëdha, kështu që mund të hasni në LBA kur ekzaminoni shumicën e kompjuterëve modernë.

Lloji FD

Gjithashtu vini re llojin FD (disketë ose disketë). Nëse FD e etiketuar A: shënohet si jo e instaluar ose e çaktivizuar, nuk do të jeni në gjendje të nisni MS-DOS ose ndonjë sistem tjetër operativ nga një disketë.

Opsione të avancuara të BIOS-it

Në menynë e cilësimeve të avancuara të BIOS-it, vini re rendin e nisjes së sistemit operativ. Nëse rendi i nisjes është C :, A :, nuk mund ta nisni sistemin operativ nga një disketë. Ndryshoni rendin e nisjes në A :, C: ose A :, CD-ROM, C: nëse është e nevojshme.

Pasi të keni përfunduar të gjithë punën me kompjuterin, kthejeni cilësimin në C :, A :, CD-ROM ose C: Vetëm (nëse kjo vlerë është e pranishme në këtë version BIOS). Në këtë rast, kompjuteri do të mbrohet në mënyrë të besueshme nga infektimi me një virus boot nëpërmjet disketave.

Vendosja e standardeve të BIOS-it

BIOS Setup ju jep mundësinë për të vendosur cilësimet e paracaktuara të BIOS-it.

Sidoqoftë, metoda e instalimit varet nga BIOS. Për shembull, BIOS Setup nga AMI ju lejon të ngarkoni dy grupe cilësimesh BIOS.

E para ngarkohet kur zgjidhet linja AUTO CONFIGURATION WITH BIOS DEFAULTS në menunë kryesore të programit. Ky grup parametrash është krijuar që motherboard të funksionojë në modalitetin standard.

Grupi i dytë i parametrave korrespondon me linjën AUTO CONFIGURATION WITH POWER-ON DEFAULTS dhe përdoret kryesisht kur kompjuteri nuk fillon me grupin e parë. Në grupin e dytë, vendosen parametra më konservatorë (për shembull, çaktivizimi i RAM-it kryesor është i çaktivizuar), gjë që ndonjëherë lejon që edhe një kompjuter pjesërisht me defekt të fillojë.

Analiza e MBR Master Boot Record dhe Tabela e Ndarjes

Kur FDISK krijon për herë të parë ndarje në një hard disk, ai shkruan MBR në fillim të sektorit të parë të diskut (sektori 1, pjesa 0, koka 0).

Master Boot Record është një program që fiton kontrollin gjatë nisjes së sistemit operativ. Më tej, regjistrimi i nisjes vazhdon procesin e ngarkimit të sistemit operativ.

Dallimi vizual i një sektori normal të nisjes kryesore nga një sektor i dëmtuar ose i infektuar me virus nuk është gjithmonë i lehtë. Në fig. 1 tregon një grumbullim të përmbajtjes së një sektori me një rekord MBR të marrë duke përdorur programin Microsoft DiskProbe nga Windows NT Resource Kit. Një hale e ngjashme mund të merret duke përdorur redaktuesin e diskut DISKEDIT në kutinë e veglave Norton Utilities.

Oriz. 1. Deponia e sektorit të MBR

Ndonjëherë një virus modifikon vetëm disa bajt në të cilët shkruhet adresa e sektorit të nisjes së sistemit operativ, duke e lënë programin e nisjes të paprekur. Ndryshime të tilla mund të zbulohen vetëm duke çmontuar dhe më pas duke analizuar kodin burimor të rikuperuar të programit të nisjes. Në disa raste, ndryshimet janë aq të dukshme sa mund të zbulohen "me sy të lirë", vetëm duke parë listën e sektorit të parë të diskut. Sigurisht, mënyra më e mirë për të zbuluar infeksionin e virusit MBR është ta kontrolloni atë me një program antivirus.

Një pjesë tjetër e rëndësishme e sektorit të parë të një disku është Tabela e Ndarjes.

Ai ka katër elementë që përshkruajnë deri në katër ndarje në disk. Dy bajtët e fundit të sektorit përmbajnë vlerën 0xAA55. Kjo është një veçori e tabelës së ndarjes - nënshkrimi i tabelës së ndarjes. Në vijim, me parashtesën 0x, do të tregojmë vlera heksadecimal, dhe pa një parashtesë të tillë - vlera dhjetore. Vini re gjithashtu se bajtët e nënshkrimit janë në rend të kundërt - bajt më pak i rëndësishëm është në adresën më të ulët. Kjo është një veçori e arkitekturës së procesorëve Intel.

Ndarjet e diskut përmbajnë disqe logjike. Për shembull, mund të krijoni një ndarje primare për diskun C: dhe një ndarje dytësore në të cilën krijohen disqet logjike D :, E :, etj.

Microsoft Disk Probe ju lejon të shikoni (dhe modifikoni) përmbajtjen e tabelës së ndarjeve në një formë të formatuar, siç tregohet në Fig. 2.

Oriz. 2. Shikimi i përmbajtjes së tabelës së ndarjes së diskut

Përshkrimi i formatit të tabelës së ndarjes

Formati i sektorit të parë të një hard disk mund të përfaqësohet si më poshtë:

Siç mund ta shihni nga kjo tabelë, bajtet me një zhvendosje nga 0 në 0x1BE janë të zëna nga rekordi kryesor i nisjes, domethënë programi. Pastaj ka katër hyrje në tabelën e ndarjeve, ku çdo hyrje merr 0x10 bajt. Pas tabelës janë dy bajt të atributit të tabelës së ndarjes.

Elementi i tabelës së ndarjes përmban informacione për vendndodhjen dhe madhësinë e ndarjes në sektorë, si dhe qëllimin e ndarjes. Formati i elementit të tabelës së seksionit është paraqitur më poshtë:

Bajti i parë i elementit të tabelës së seksionit përmban shenjën e seksionit aktiv. Nëse ndarja është aktive, sistemi operativ do të nisë prej tij. Shpesh një disk përmban disa ndarje aktive në të njëjtën kohë, që u përkasin sistemeve të ndryshme operative.

Tre bajtët e ardhshëm përcaktojnë adresën fizike në diskun e sektorit fillestar të ndarjes (duke përshkruar këtë element të ndarjes).

Bajt me offset 1 përmban numrin e kokës së sektorit fillestar të ndarjes. Në një fushë me dy bajtë me një zhvendosje prej 2, kodohet numri i sektorit dhe numri i pjesës së sektorit të parë të seksionit. Në këtë rast, bitet 0 ... 5 të kësaj fushe vendosin numrin e sektorit, dhe bitet 6 ... 15 - numrin e pjesës.

Byte në offset 4 përmban llojin e ndarjes, në varësi të llojit të sistemit operativ dhe llojit të sistemit të skedarëve.

Më poshtë kemi dhënë disa nga llojet më të zakonshme (këtu FAT-12, FAT-16 dhe FAT-32 përfaqësojnë modifikime të ndryshme të sistemit të skedarëve FAT, më shumë për këtë më vonë):

Bajt-i i tabelës së ndarjes në zhvendosjen 5 dhe fjala me dy bajt në zhvendosjen 6 përmbajnë numrin e kokës, numrin e sektorit dhe numrin e pjesës së ndarjes së fundit.

Dy fushat e fundit të hyrjes së tabelës së ndarjes janë 4 bajt dhe përmbajnë, përkatësisht, numrin relativ të sektorit të parë në ndarje (d.m.th., numrin relativ të sektorit të fillimit të ndarjes) dhe numrin e sektorëve në dispozicion. në ndarje. Janë këto fusha që përdoren nga sistemi operativ Microsoft Windows NT për të llogaritur vendndodhjen e ndarjes.

Le të ndalemi në numrin relativ të sektorit të parë në seksion.

Një vlerë e numrit relativ prej 0 korrespondon me pistën 0, kokën 0, sektorin 1. Rritja e numrit të sektorit relativ rrit numrin e sektorit në pistë fillimisht, më pas numrin e kokës dhe në fund numrin e pjesës. Duke ditur numrin e pistave, numrin e sektorit në pistë dhe numrin e kokës, mund të llogarisni numrin relativ të sektorit duke përdorur formulën e mëposhtme:

RelSect = (Cyl * Sekt * Kokë) + (Koka * Sekt) + (Sekt - 1)

Këtu Cyl është numri i pjesës, Sekti është numri i sektorit në pistë, Head është numri i kokës.

Në mënyrë tipike, kapitujt në një disk fillojnë me numra pjesësh me numra çift, me përjashtim të kapitullit të parë. Kjo ndarje mund të fillojë nga sektori 2 i pjesës 0 (koka 0), pasi sektori i parë i diskut është i zënë nga rekordi kryesor i nisjes.

Ndjekja e një liste të ndarjeve të diskut

Në sistemin operativ MS-DOS, ndarja primare duhet të jetë unike dhe aktive, përdoret si disku C: dhe sistemi operativ ngarkohet prej tij. Në ndarjen e zgjeruar, FDISK krijon disqe logjike D :, E :, e kështu me radhë.

Nëse bajt i kodit të ndarjes ka vlerën 5, atëherë sektori që përmban tabelën logjike të diskut ndodhet në fillim të ndarjes përkatëse. Kjo tabelë është një zgjerim i tabelës së ndarjes së diskut që ndodhet në sektorin e parë të një disku fizik.

Tabela logjike e diskut ka të njëjtin format si tabela e ndarjes së diskut, por përmban vetëm dy hyrje.

Njëra prej tyre tregon sektorin e parë të diskut logjik, ka një vlerë të tipit të ndarjes 1 ose 4 (për MS-DOS). Elementi i dytë mund të jetë një vlerë e tipit të ndarjes prej 5 (për MS-DOS) ose 0. Nëse ky kod është 5, atëherë elementi tregon në tabelën tjetër logjike të diskut. Nëse kodi i sistemit është 0, atëherë elementi përkatës nuk përdoret. Më lart, ne kemi dhënë kodet për ndarjet primare dhe të zgjeruara për sisteme të ndryshme operative.

Kështu, tabelat logjike të diskut janë të lidhura në një listë. Hyrja e tabelës së ndarjes së diskut që korrespondon me ndarjen kryesore tregon në fillim të kësaj liste.

Për një tabelë logjike të diskut, ka një ndryshim në përdorimin e fushave të kufirit logjik të diskut. Nëse ndarja është parësore, këto kufij llogariten në lidhje me fillimin e ndarjes së zgjeruar. Për ndarjet e zgjeruara, përdoret adresimi absolut (në lidhje me fillimin fizik të diskut).

Duke përdorur butonin Next Partition (Fig. 2) mund të shikoni të gjithë listën e tabelave logjike të diskut.

Kontrollimi i tabelës së ndarjeve me programin DISKEDIT

Microsoft Disk Probe i përmendur më parë funksionon vetëm në sistemet operative Microsoft Windows NT dhe Microsoft Windows 2000. Sa i përket MS-DOS dhe Microsoft Windows 95/98, këtu rekomandojmë redaktorin DISKEDIT nga paketa Norton Utilities për të analizuar strukturat e diskut të sistemit. Është më mirë ta shkruani këtë program në disketën e sistemit. Vetëm kur niseni nga një disketë e tillë, do të jeni në gjendje të ekzaminoni një sistem skedarësh të infektuar ose të korruptuar nga virusi kur MS-DOS nuk është i ngarkuar nga hard disku.

Kur funksionon DISKEDIT, përdorni menynë Object. Së pari, zgjidhni linjën Drive nga kjo meny. Nëse hard disku fizik ka ndarje të shëndetshme me disqe logjike të përcaktuara në to, një listë e disqeve logjike do të shfaqet në ekran.

Nëse sistemi i skedarëve është i korruptuar në atë masë sa është e pamundur të nisni sistemin operativ nga disku, dhe kur nisni nga një disketë, nuk është i dukshëm asnjë disk i vetëm logjik, kur zgjidhni linjën Drive, do t'ju shfaqet një lista e disqeve fizike (Fig. 3).

Oriz. 3. Zgjedhja e një disku fizik në programin DISKEDIT

Për të parë sektorin e parë të një disku fizik që përmban regjistrimin kryesor të nisjes dhe tabelën e ndarjes, zgjidhni hard diskun fizik 1 dhe klikoni OK. Pas kësaj, përmbajtja e sektorit të dëshiruar do të shfaqet në ekran në formën e një hale. Sektori është 512 bajt në madhësi, kështu që përmbajtja e tij nuk përshtatet në një ekran. Mund të shtypni tastin PgDn dhe të shihni pjesën e dytë të sektorit.

Çfarë duhet t'i kushtoni vëmendje këtu?

Në fillim të sektorit është rekordi kryesor i nisjes. Ajo, siç kemi thënë tashmë, është një program. Nëse keni përvojë të mjaftueshme, mund ta çmontoni dhe hulumtoni. Në çdo rast, kohëzgjatja e programit duhet të kontrollohet. Kjo gjatësi nuk duhet të jetë shumë e gjatë - pas programit të nisjes, para fillimit të tabelës së ndarjes, duhet të ketë zero bajt. Përveç kësaj, brenda programit të nisjes duhet të ketë mesazhe Tabela e ndarjes së pavlefshme, Gabim gjatë ngarkimit të sistemit operativ dhe sistemi operativ mungon (për versionet ruse të sistemeve operative, këto mesazhe do të jenë në Rusisht).

Për sa i përket pjesës së dytë të sektorit të parë të diskut, ai duhet të përmbajë tabelën e ndarjes së diskut.

Dy bajtët e fundit duhet të përmbajnë atributin e tabelës së ndarjes (nënshkrimin) - vlerën heksadecimal 0xAA55.

Ju mund të analizoni tabelën e ndarjes së një disku duke përdorur informacionin e mësipërm mbi formatin e tij. Kujtojmë që tabela ndodhet në sektorin e parë të diskut në offset 0x1BE. Sidoqoftë, është shumë më i përshtatshëm të përdoret pamja e formatit të redaktuesit DISKEDIT për të analizuar këtë tabelë.

Poziciononi kursorin (me miun ose me tastet me shigjeta) në bajt me zhvendosje 0x1BE, që korrespondon me fillimin e tabelës së ndarjes. Pastaj zgjidhni rreshtin si Tabela e Ndarjes nga menyja View. Një tabelë e formatuar e ndarjes së diskut do të shfaqet në ekran (Fig. 4).

Oriz. 4. Shikoni tabelën e ndarjes së diskut

Kolona System shfaq informacion në lidhje me llojin e ndarjeve. Është ndërtuar në bazë të analizës së fushës së llojit të seksionit të ruajtur në rreshtin përkatës të tabelës së seksioneve. Nëse ndarja është aktive, kolona Boot për të përmban rreshtin Po, nëse jo, rreshtin Nr.

Kolonat Vendndodhja e fillimit dhe Vendndodhja e përfundimit në fushat anësore, cilindri dhe sektori përmbajnë informacion të deshifruar rreth vendndodhjes së sektorëve të parë dhe të fundit të seksionit.

Ju mund të zbuloni numrin e sektorit relativ nga i cili fillon seksioni nga kolona Sektorët Relativë, dhe numrin total të sektorëve - në kolonën Numri i Sektorëve.

Ka kuptim të krahasoni informacionin e marrë në lidhje me kufijtë e ndarjeve me parametrat e diskut të ngurtë të marrë duke përdorur programin BIOS Setup, pasi viruset mund të fshehin trupat e tyre në sektorët e diskut të vendosur në fund të diskut dhe të mos ndahen në asnjë ndarje. Sidoqoftë, duhet të kihet parasysh se kontrollorët modernë të diskut janë të aftë të kryejnë adresimin logjik të bllokut (modaliteti LBA), i cili shtrembëron pamjen që rezulton.

Le të shpjegojmë atë që është thënë me një shembull.

Një nga kompjuterët tanë ka një disk me 1057 këngë dhe 16 koka. Çdo pjesë përmban 63 sektorë prej 512 bajt. Në këtë rast, madhësia totale e diskut është 520 MB. Këto parametra na janë dhënë nga programi BIOS Setup.

FDISK zbulon se disku ka dy ndarje, 300 MB dhe 219 MB, dhe disku është 100 për qind në përdorim. Në të njëjtën kohë, programi DISKEDIT për këtë disk tregon se sektori i fundit i ndarjes së fundit ndodhet në pistën numër 526.

Në pamje të parë, diçka nuk është në rregull këtu: programi BIOS Setup na tregon se ka 1057 këngë dhe 16 koka në disk, dhe në tabelën e ndarjes për sektorin e fundit të ndarjes së fundit, shohim vlera krejtësisht të ndryshme: ky sektor është ndodhet në pistën 526, dhe numri i kokës është 31!

Arsyeja për këtë mospërputhje është se kontrolleri ynë IDE kryen adresimin logjik të gjurmëve dhe kokave, duke u dhënë programeve një disk "virtual", ku në krahasim me diskun real, ka më pak gjurmë, por më shumë koka.

Ruajtja e parametrave të diskut dhe tabelës së ndarjes së diskut

Përpara se të vazhdoni me ekzaminimin e sistemit të skedarëve, ju rekomandojmë fuqimisht që të shkruani parametrat e diskut të përcaktuar duke përdorur programin BIOS Setup dhe përmbajtjen e tabelës së ndarjes së diskut. Thjesht kopjoni vlerat e marra në një copë letër. Nëse gjatë një riparimi shkatërroni aksidentalisht zonën e të dhënave të BIOS ose sektorin kryesor të nisjes, mund të rikuperoni lehtësisht të dhëna kritike.

Ju gjithashtu mund të ruani përmbajtjen e sektorit MBR në një skedar duke përdorur funksionet e duhura të DISKEDIT ose Microsoft Disk Probe. Udhëzimet e hollësishme mund të gjenden në dokumentacionin dhe sistemet e ndihmës të këtyre programeve. Skedari duhet të shkruhet në një floppy disk ose në një disk tjetër.

Eksplorimi i një ndarje të zgjeruar të diskut

Nëse në disk është krijuar vetëm një ndarje primare, mund të vazhdoni me analizën e diskut logjik C: dhe disqeve të tjera logjike. Nëse ka një ndarje të zgjeruar, është e nevojshme të kontrolloni sektorin e tabelës logjike të diskut - sektori i parë në ndarjen e zgjeruar.

Për të parë këtë sektor, ekzekutoni programin DISKEDIT, përdorni atë për të përcaktuar vendndodhjen e ndarjes së zgjeruar (numri i pjesës, kreu dhe numri i sektorit). Pastaj zgjidhni linjën Sektori fizik nga menyja Object. Në ekran do të shfaqet kutia e dialogut Zgjidhni diapazonin e sektorit fizik, me të cilin mund të zgjidhni një ose më shumë sektorë për shikim.

Sektori i tabelës logjike të diskut, ndryshe nga sektori MBR, është praktikisht bosh. Të gjithë bajtët në të që nga fillimi për të kompensuar 0x1BD, përfshirë, duhet të përmbajnë një vlerë zero. Më tej, në offset 0x1BE, është tabela logjike e diskut, e cila përbëhet nga dy elementë. Në fund të sektorit është nënshkrimi që tashmë e dini - vlera 0xAA55.

Struktura e elementeve është plotësisht e ngjashme me strukturën e elementeve të tabelës së seksioneve, kështu që mund të përdorni pamjen e formatit. Për ta bërë këtë, poziciononi kursorin në bajt me zhvendosje 0x1BE dhe më pas zgjidhni rreshtin si Tabela e Ndarjes nga menyja View.

Ruajtja e përmbajtjes së tabelave logjike të diskut

Në të njëjtën fletë letre ku keni shënuar parametrat e diskut dhe informacionin nga tabela e ndarjes së diskut, shkruani informacionin për të gjithë disqet logjike të marra nga tabelat e diskut logjik. Nëse përmbajtja e tabelave të diskut logjik shkatërrohet aksidentalisht, ju do të humbni aksesin në disqet logjike.

Ekzaminimi i disqeve logjike FAT

Formati i disqeve logjike të vendosura në ndarjet e diskut të ngurtë është plotësisht identik me formatin e disketave, kështu që shumë nga ato që u tha këtu do të jenë të vërteta edhe për disketat.

Në fillim të diskut logjik është sektori Boot Record (mos e ngatërroni me sektorin MBR, i cili është i pari në diskun fizik), si dhe ndoshta sektorë të rezervuar.

Pas sektorit Boot Record janë dy kopje të FAT (Tabela e ndarjes së skedarëve), për të cilat do të flasim më vonë, dhe direktoria rrënjësore. Zona e të dhënave që zë pjesën e mbetur të diskut logjik përmban skedarë dhe drejtori të tjera.

Kontrolli i sektorit të nisjes

Adresa e sektorit të nisjes së një disku logjik nuk është e vështirë të gjendet në tabelën e diskut logjik. Sektori i nisjes së diskut logjik përmban programin bootstrap për sistemin operativ. Ky program vendoset në RAM nga një ngarkues i vendosur në MBR.

Qëllimi i një programi të vendosur në sektorin e nisjes së një disku logjik është të ngarkojë sistemin operativ në këtë disk logjik.

Kështu, kur ndizet energjia pas kryerjes së procedurës së testimit, BIOS ngarkon përmbajtjen e MBR në RAM dhe transferon kontrollin në të. Master Boot Record skanon tabelën e ndarjes së diskut dhe gjen ndarjen aktive. Nëse ka disa seksione të tilla, përdoruesit i kërkohet të zgjedhë një seksion për ta shkarkuar.

Më pas MBR lexon Boot Record të diskut logjik të vendosur në ndarjen aktive të zgjedhur dhe transferon kontrollin te programi i nisjes së sistemit operativ në këtë sektor. Ky program, nga ana tjetër, kryen të gjithë punën e ngarkimit të sistemit operativ në memorien e kompjuterit.

Formati i sektorit të nisjes varet nga versioni i sistemit operativ. Sidoqoftë, në çdo rast, përveç programit bootstrap për sistemin operativ, regjistrimi i nisjes përmban parametra që përshkruajnë karakteristikat e një disku të caktuar logjik. Të gjithë këta parametra janë të vendosur në fillim të sektorit, në të ashtuquajturën zonë të formatuar. Dy bajtët e fundit të sektorit të nisjes përmbajnë nënshkrimin e njohur 0xAA55.

Përpara se të ekzaminoni rekordin e nisjes, duhet të përdorni komandën VER për të përcaktuar versionin e sistemit operativ të instaluar në kompjuter. Për versionet e MS-DOS më të hershme se 4.0, formati i regjistrimit të nisjes tregohet më poshtë:

Në fillim të sektorit të nisjes është komanda JMP e kërcimit brenda segmentit. Është e nevojshme për të anashkaluar zonën e sektorit të formatuar dhe për të transferuar kontrollin në programin e nisjes që ndodhet në kompensimin 0x1E.

Emri i prodhuesit nuk përdoret nga sistemi operativ dhe është një varg teksti 8 bajt.

Në kompensimin 0xB, ndodhet Blloku i Parametrave të BIOS (BPB). Ky bllok përmban disa karakteristika të diskut logjik, si numri i sektorëve në një grup, numri total i sektorëve, etj. Formati BPB do të përshkruhet më vonë.

Fushat e sektorit të nisjes me zhvendosje 0x18 dhe 0x1A përmbajnë përkatësisht numrin e sektorëve për pjesë dhe numrin e kokave. Fusha me kompensim 0x1C përmban numrin e sektorëve "të fshehur" që nuk i përkasin asnjë disku logjik. Këta sektorë mund të përdoren për ndarjen e një disku fizik në ndarje dhe disqe logjike (ata mund të përmbajnë një tabelë të ndarjes së diskut ose tabela logjike të diskut).

Paragjykimi, bajt	Permasa, bajt	Përshkrim
0	3	Komanda JMP xxxx (shkoni te programi bootstrap)
3	8	Emri dhe versioni i prodhuesit të sistemit operativ
0xB	25	Extended BPB - Extended BIOS Parameter Block
0x24	1	Numri i pajisjes fizike (0 - disketa, 0x80 - hard disk)
0x25	1	Rezervuar
0x26	1	Vlera 0x29 është një shenjë e Regjistrimit të Zgjeruar të Boot BPB
0x27	4	Numri serial i diskut (Volume Serial Number), i krijuar gjatë formatimit të diskut
0x2B	11	Etiketa e diskut (Etiketa e volumit)
0x36	8	Vargu i tekstit "FAT12" ose "FAT16"

Dy fushat e para kanë të njëjtin qëllim si në regjistrimin e nisjes së versioneve më të vjetra të MS-DOS.

Fusha me kompensim 26h përmban numrin 0x29, që do të thotë se përdoret formati i regjistrimit të zgjatur të nisjes dhe, në përputhje me rrethanat, blloku i parametrave të zgjeruar BIOS Extended BPB.

Numri serial i diskut gjenerohet gjatë formatimit të diskut bazuar në datën dhe kohën e formatimit. Prandaj, të gjithë disqet dhe disketat kanë numra serialë të ndryshëm.

Etiketa e diskut formohet gjatë formatimit dhe mund të ndryshohet, për shembull, me komandën LABEL të sistemit operativ MS-DOS. Në të njëjtën kohë, etiketa e diskut vendoset në direktoriumin rrënjë si një përshkrues i veçantë. Më vonë do të flasim për formatin e drejtorive dhe përshkruesve, si dhe formatin e tabelës së ndarjes së skedarëve FAT.

Tani në lidhje me bllokun e parametrave BIOS BPB dhe bllokun e parametrave BIOS Extended BPB.

Për versionet e MS-DOS më të hershme se 4.0, BPB ka formatin e mëposhtëm:

Blloku i zgjeruar i parametrave BIOS për sistemet e skedarëve FAT-12 dhe FAT-16 përbëhet nga një BPB e rregullt dhe një shtesë shtesë:

Paragjykimi, bajt	Permasa, bajt	Përshkrim
0	2
2	1
3	2
5	1	Numri i tabelave FAT
6	2
8	2	Numri total i sektorëve në mediumin e ruajtjes (nën ndarjen MS-DOS)
0Ah	1	Lloji i bartësit të të dhënave
0 Bh	2
0Dh	2
0Fh	2	Numri i kokave magnetike
11h	2
13 orë	2	Numri i sektorëve të fshehur për një ndarje më të madhe se 32 MB
15h	4

Për disketat dhe disqet, lloji i mediumit të ruajtjes mund të marrë vlerat e mëposhtme:

Kuptimi	sasi partive	sasi sektorët	Diametri, inç	Kapaciteti, Kbyte
0xF0	2	18	3,5	1440
0xF0	2	36	3,5	2880
0xF0	2	15	5,25	1200
0xF8	-	-	-	Hard disk i çdo kapaciteti
0xF9	2	9	3,5	720
0xF9	2	15	5,25	1200
0xFA	1	8	5,25	320
0xFB	2	8	3,5	640
0xFC	1	9	5,25	180
0xFD	2	9	5,25	360
0xFE	1	8	5,25; 8	160
0xFF	2	8	5,25; 8	320

Sa i përket sistemit të skedarëve FAT-32, formati i sektorit të nisjes është i njëjtë me atë të përshkruar më parë, me përjashtim të bllokut BPB. Madhësia e këtij blloku është 0x25 bajt dhe formati tregohet më poshtë:

Paragjykimi, bajt	Permasa, bajt	Përshkrim
0	2	Numri i bajteve në një sektor të diskut
2	1	Numri i sektorëve në një grup
3	2	Numri i sektorëve të rezervuar
5	1	Numri i tabelave FAT
6	2	Numri maksimal i përshkruesve të skedarëve në direktorinë rrënjë të një disku
8	2	Numri i përgjithshëm i sektorëve në mediumin e ruajtjes (në një seksion)
0xA	1	Lloji i bartësit të të dhënave
0xB	2	Numri i sektorëve të zënë nga një kopje e FAT
0xD	2	Numri i sektorëve për udhë
0xF	2	Numri i kokave magnetike
0x11	4	Numri i sektorëve të fshehur për një ndarje më të vogël se 32 MB
0x15	4	Numri i përgjithshëm i sektorëve në një disk logjik për një ndarje më të madhe se 32 MB
0x19	4	Madhësia e tabelës FAT në sektorë
0x1D	2	Kutitë e zgjedhjes së zgjeruar
0x1F	2	Versioni i sistemit të skedarëve
0x21	4	Numri i grupit të parë të drejtorisë rrënjësore
0x25	2	Një sektor që përmban informacione të ndryshme rreth sistemit të skedarëve në tërësi
0x27	2	Numri i sektorit në të cilin ndodhet rezervimi i sektorit të nisjes
0x29	12	Rezervuar

Për shikimin e formatit të bllokut të parametrave BPB (ose bllokut të zgjeruar të parametrave BPB, në varësi të versionit MS-DOS), është i përshtatshëm të përdorni programin DISKEDIT. Megjithatë, ju mund ta gjeni rekordin e nisjes në dy mënyra.

Së pari, mund të zgjidhni linjën Boot Record nga menyja Object (duke zgjedhur diskun logjik të kërkuar duke përdorur linjën Drive të së njëjtës meny). Menjëherë do ta gjeni veten në modalitetin e shikimit të formatuar të bllokut të parametrave BIOS të diskut të përzgjedhur (Fig. 5).

Oriz. 5. Shikimi i bllokut të parametrave të BIOS-it

Së dyti, nëse disqet logjike nuk janë të disponueshme, por keni arritur të lexoni tabelën e ndarjes ose tabelën e diskut logjik, mund të shkoni për të parë rekordin e nisjes duke specifikuar adresën e tij fizike. Për ta bërë këtë, zgjidhni linjën e adresës fizike nga menyja Object (siç përshkruhet më parë). Një depon e pjesës së parë të sektorit të nisjes do të shfaqet në ekran. Duke shtypur tastin PgDn, mund të shkoni për të parë pjesën e dytë të sektorit të nisjes.

Duke përdorur linjat si Boot Record dhe si Hex e menysë View, mund të kaloni, përkatësisht, në mënyrat e formatuara dhe të paformatuara të shikimit të sektorit të nisjes.

Programi Microsoft Disk Probe ka aftësi të ngjashme formatimi për shikimin e të dhënave të nisjes FAT.

Formimi i një rekordi boot dhe një blloku i parametrave të BIOS ndodh kur disku logjik është i formatuar (për shembull, me komandën FORMAT). Nëse fshini një disk logjik duke përdorur FDISK dhe më pas krijoni një të ri me të njëjtën madhësi në vend të tij, BPB do të shkatërrohet. Në këtë rast, do t'ju duhet të riformatoni përsëri diskun logjik.

Blloku i parametrave BIOS përmban informacione kritike, nëse shkatërrohet, bëhet e pamundur qasja normale në skedarët dhe drejtoritë e vendosura në diskun logjik. Trajtimi i pakujdesshëm i sektorit të nisjes së diskut mund të çojë në nevojën për të riformatuar diskun logjik përkatës me humbje të plotë të të dhënave të ruajtura atje.

Para se të vazhdoni me analizën e mëtejshme të sistemit të skedarëve, është e dobishme të bëni një printim të përmbajtjes së sektorëve të nisjes së të gjithë disqeve logjike të disponueshme në formë të formatuar dhe jo të formatuar, pasi blloku i parametrave BIOS përmban informacionin e nevojshëm për gjetjen dhe analizimin. struktura të tjera logjike të sistemit të skedarëve. Për të printuar, zgjidhni linjën Printo Object as nga menyja Tools dhe zgjidhni linjën Boot Record në kutinë e dialogut që shfaqet në ekran. Pastaj klikoni butonin OK.

Në mënyrë të ngjashme, mund të printoni përmbajtjen e strukturave të tjera logjike në sistemin e skedarëve, për shembull, përmbajtjen e një tabele të ndarjes së diskut.

Analiza e sektorit të rezervuar

Sektorët e rezervuar mund të vendosen midis sektorit të nisjes dhe tabelës së ndarjes së skedarëve FAT, të cilët janë sektorë shërbimi për sistemin e skedarëve ose nuk përdoren.

Numri i sektorëve të rezervuar në diskun logjik mund të gjendet në bllokun e parametrave BIOS (BPB ose Extended BPB, në varësi të versionit të sistemit operativ). Vlera e kërkuar është në fushën e këtij blloku me kompensim 3. Gjatë formatimit, numri i sektorëve të rezervuar tregohet në rreshtin Sektorët e rezervuar në fillim.

Nëse rezervohet vetëm një sektor, atëherë kopja e parë e FAT ndodhet menjëherë pas sektorit të nisjes. Është sektori i nisjes që është i rezervuar në këtë rast.

Kur rezervohen shumë sektorë, mund të ketë më shumë sektorë që përmbajnë vlera zero midis sektorit të nisjes dhe kopjes së parë të FAT. Nëse një kompjuter është i infektuar me një virus, këta sektorë mund të përmbajnë trupin e virusit ose një kopje të regjistrimit origjinal të nisjes të zëvendësuar nga virusi.

Tabelat e ndarjes së skedarëve FAT

Sistemi operativ organizon sektorë të veçantë të diskut në të ashtuquajturat grupime. Kur krijohen drejtori të reja dhe skedarë jo bosh, një ose më shumë grupe u ndahen atyre. Nëse skedari rritet në madhësi, grupe shtesë ndahen për të.

Madhësia e grupit në sektorë (d.m.th., numri i sektorëve në një grup) është e lehtë për t'u gjetur nga fusha në bllokun e parametrave BIOS BPB me kompensim 2. Kur shikoni përmbajtjen e sektorit të nisjes në format, shfaqet madhësia e grupit në linjën Sektorë për grup.

Për të kursyer hapësirën në disk, skedarëve dhe drejtorive u ndahen grupe që nuk janë domosdoshmërisht ngjitur. Kështu, grupe të veçanta që i përkasin të njëjtit skedar mund të vendosen në vende të ndryshme në një disk logjik. Këto kursime vijnë me një çmim të performancës, pasi leximi i një skedari të fragmentuar kërkon lëvizje të shumta të kokës, që është funksionimi më i ngadaltë i diskut.

Një problem tjetër me fragmentimin e skedarëve është nevoja për të mbajtur një listë të grupimeve të alokuara për çdo skedar. Natyrisht, për të lexuar një skedar, sistemi operativ duhet të lexojë në mënyrë sekuenciale të gjitha grupet e alokuara në atë skedar.

Ku ruhen listat e grupimeve?

Këto lista ruhen në tabelën e ndarjes së skedarëve (FAT), të cilën do ta analizojmë së shpejti.

Mendoni për tabelën e ndarjes së skedarëve si një grup që përmban informacion në lidhje me vendndodhjet relative të grupimeve të të gjithë skedarëve. Madhësia e grupit përcaktohet nga numri i përgjithshëm i grupimeve në diskun logjik. Elementet e grupeve përmbajnë lista të grupimeve të alokuara për skedarë, dhe elementët e grupeve që korrespondojnë me grupimet e lira përmbajnë vlera zero.

Nëse skedari zë disa grupime, atëherë grupe të tilla janë të lidhura në një listë. Në këtë rast, elementët e tabelës FAT përmbajnë numrat e grupimeve të mëposhtme të përdorura nga ky skedar. Fundi i listës është shënuar në tabelë me një kuptim të veçantë. Numri i grupit të parë të alokuar në një skedar ruhet në hyrjen e drejtorisë që përshkruan skedarin (në përshkruesin e skedarit).

Kështu, duke ditur emrin e skedarit dhe drejtorinë ku ndodhet ky skedar, sistemi operativ MS-DOS mund të përcaktojë numrin e grupit të parë të alokuar në skedar, dhe më pas, duke gjurmuar listën e grupimeve në tabelën FAT, të përcaktojë numri i grupimeve të mbetura të zëna nga ky skedar.

Programi FORMAT i krijuar për të formatuar diskun dhe disa programe speciale për një qëllim të ngjashëm kontrollojnë diskun logjik për zona me defekt. Grupet e vendosura në këto zona me defekt janë shënuar si të këqija në FAT dhe nuk përdoren nga sistemi operativ.

Për shembull, në Fig. 6 tregon përshkrues të thjeshtuar për direktoriumin rrënjë të diskut C:. Ato përshkruajnë skedarët MYFILE1.DOC dhe MYLETTER.DOC, si dhe hyrjet në tabelën e ndarjes së skedarëve FAT të alokuara për këta skedarë.

Oriz. 6. Një shembull i ndarjes së grupeve për skedarët MYFILE1.DOC dhe MYLETTER.DOC

Skedari MYFILE1.DOC zë tre grupime me numër 11, 17 dhe 18, dhe skedari MYLETTER.DOC zë dy grupime me numër 12 dhe 13. Drejtoria përmban numrat e grupimeve të para të alokuara për këta skedarë (përkatësisht 11 dhe 12). Qelizat e fundit që korrespondojnë me grupimet e fundit, skedarët e shpërndarë, përmbajnë një vlerë të veçantë - shenjën e fundit të zinxhirit të grupimit. Për formatin FAT 16-bit, kjo është 0xFFFF, dhe për formatin 12-bit, është 0xFFF.

Formati i tabelës FAT

Le të hedhim një vështrim më të afërt në formatin e tabelës FAT.

Tabela FAT mund të jetë 12-, 16- ose 32-bit, me sistemin e skedarëve të caktuar si FAT-12, FAT-16 dhe FAT-32, dhe tabela përdor 12, 16 ose 32 për të ruajtur informacionin rreth një biti i grupit të diskut, përkatësisht.

I pari nga këto dy formate (12-bit) përdoret për disketë dhe disqe me pak sektorë. Tabela e ndarjes së skedarëve të floppy FAT-12 përshtatet plotësisht në një sektor.

Nëse disku është shumë i madh, bitët dymbëdhjetë-bit nuk do të mjaftojnë për të përfaqësuar të gjitha grupimet. Në këtë rast, përdoret formati FAT 16 ose 32-bit. Në këtë rast, sistemi operativ mund të punojë me një disk që është më shumë se 32 MB në madhësi. Prandaj, hard disqet përdorin gjithmonë formatin e tabelës FAT 16 ose 32-bit.

Si të zbuloni formatin FAT?

Formati FAT mund të përcaktohet duke ekzaminuar përmbajtjen e fushës së kodit të seksionit të elementit përkatës të tabelës së ndarjes. Kjo fushë ndodhet në MBR. Nëse përmban vlerën 1, përdoret formati 12-bit, nëse 4, atëherë 16-bit, dhe nëse 0xB ose 0xC - 32-bit.

Elementi i parë i FAT ka një format të veçantë.

Bajti i parë i FAT quhet përshkruesi i medias. Ka të njëjtin kuptim si përshkruesi i bajtit të mjedisit, sektori i nisjes së diskut logjik. 5 bajtët e ardhshëm për formatin 12-bit ose 7 bajtë për formatin 16-bit janë gjithmonë 0xFF.

Pjesa tjetër e FAT përbëhet nga qeliza 12-, 16- ose 32-bit. Çdo qelizë korrespondon me një grup të diskut. Këto qeliza për formate të ndryshme të tabelës FAT mund të përmbajnë vlerat e mëposhtme:

Pamje e tabelës FAT

Ne do të përdorim programin DISKEDIT për të parë tabelën e ndarjes së skedarëve FAT. Nga menyja Object, zgjidhni linjën Drive dhe zgjidhni diskun që ju intereson.

Pastaj nga menyja Object zgjidhni një nga dy rreshtat - 1st FAT ose 2nd FAT. Ekrani do të shfaqë përkatësisht përmbajtjen e kopjes së parë ose të dytë të tabelës FAT në formë të formatuar (Fig. 7).

Oriz. 7. Shikoni kopjen e parë të tabelës së formatuar të ndarjes së FAT

Ju gjithashtu mund të gjeni kopjen e parë ose të dytë të FAT duke ditur adresën fizike të rekordit të nisjes së diskut logjik. Kujtoni që rekordi i nisjes ndodhet në sektorin e parë të disketës. Vendndodhja e regjistrimit të nisjes për disqet logjike të krijuara në ndarjet e diskut të ngurtë mund të përcaktohet nga tabela e ndarjes (për diskun logjik C :) ose tabela e diskut logjik (për disqet logjike të krijuara në një ndarje të zgjeruar).

Më tej, brenda diskut logjik, ekziston numërimi i tij vijues i sektorit. Në këtë rast, rendi i numërimit zgjidhet i tillë që me një rritje vijuese të numrit të sektorit, së pari rritet numri i kokës, pastaj numri i pistave.

Le ta shpjegojmë këtë me një shembull.

Për shembull, supozoni se kemi një floppy disk me nëntë sektorë për pjesë. Sektori me numrin logjik të barabartë me 1 ndodhet në pistën zero dhe koka zero përdoret për t'iu referuar. Ky është sektori i parë në pistë, ka numrin 1. Sektori tjetër në pistën 0 ka numrin logjik 2, sektori i fundit në pistën 0 ka numrin logjik 9. Sektori me numrin logjik 10 ndodhet gjithashtu në pistën 0. Ky është gjithashtu sektori i parë në pistë, por tani numri i kokës 1 përdoret për të hyrë në të. Dhe kështu me radhë, ndërsa numri logjik i sektorit rritet, numrat e kokave dhe të pistave ndryshojnë.

Sipas këtij numërimi, sektori me numrin vijues 0 është sektori i nisjes. Për të parë përmbajtjen e sektorit të nisjes duke përdorur programin DISKEDIT, mund të zgjidhni linjën Sektori nga menyja Object dhe të specifikoni numrin e sektorit të barabartë me zero në kutinë e dialogut që shfaqet.

Vini re se në këtë kuti dialogu, një kuti e titulluar Përdorimi i Sektorit tregon shpërndarjen e sektorëve. Duke përdorur këtë shpërndarje, mund të përcaktoni lehtësisht numrin e sektorit vijues të regjistrimit të nisjes, fillimin dhe kufijtë e të dy kopjeve të FAT. Për më tepër, nuk është e vështirë të përcaktohet fillimi dhe kufijtë e drejtorisë rrënjësore dhe zona e të dhënave që përmban skedarë dhe drejtori të tjera.

Duke përdorur menynë View, mund të shikoni përmbajtjen e FAT si një hale.

Vizualisht, tabela e ndarjes së skedarëve duhet të përmbajë sekuenca kryesisht në ndryshim monotonik të numrave të grupimeve, vlera zero që korrespondojnë me grupimet e lira dhe vlerën 0xFFFF (0xFFF për FAT-12 ose 0xFFFFFFFF për FAT-32), që është një shenjë e fundit. të zinxhirit të grupimit.

Kopja e parë e FAT duhet të pasohet nga një kopje e dytë e FAT.

Ju mund të përcaktoni madhësinë e tabelës FAT duke ditur përmbajtjen e bllokut të parametrave BIOS BPB me kompensim 0xB (numri i sektorëve të zënë nga një kopje e FAT).

Si rezultat i një dështimi ose sulmi virusi, tabela FAT mund të shkatërrohet plotësisht ose të ndryshohet (për shembull, të koduar ose të shkruhet me zero). Nëse zinxhiri i grupimeve për skedarin që ju nevojitet është shkatërruar pjesërisht ose plotësisht, rivendosja e një skedari të tillë mund të jetë një detyrë e frikshme.

Disa viruse përfitojnë nga fakti që fundi i zinxhirit të grupimit mund të shënohet me çdo vlerë në intervalet e mësipërme (për shembull, 0xFFF8 deri në 0xFFFF për një tabelë FAT 16-bit), ndërsa sistemi operativ përdor vlerat 0FFFFh ose 0FFFh.

Virusi mund të ndajë skedarë të infektuar për vete (për të shmangur ri-infeksionin), duke shënuar grupin e fundit të caktuar për këta skedarë me çdo vlerë tjetër, për shembull, 0xFFF9. Në këtë rast, sistemi operativ do të vazhdojë të funksionojë normalisht, sikur të mos kishte ndodhur asgjë.

Megjithëse kopja e dytë e FAT është krijuar si një kopje rezervë, për të lehtësuar procedurën e rikuperimit në rast të shkatërrimit të kopjes së parë, nuk duhet të shpresoni veçanërisht që në rast të një sulmi virusi, thjesht mund të kopjoni kopjen e dytë të FAT në vend të të parës. Kopja e dytë e FAT gjithashtu mund të shkatërrohet ose të kodohet, dhe në një mënyrë të ndryshme nga e para.

Formati i drejtorisë

Për FAT-12 dhe FAT-16, direktoria rrënjësore ndjek menjëherë kopjen e dytë të tabelës së ndarjes së skedarëve. Vendndodhja e drejtorisë rrënjësore për FAT-32 është specifikuar në BPB (fjalë me zhvendosje 0x21).

Madhësia e drejtorisë rrënjësore në sektorë mund të përcaktohet nga blloku i parametrave BIOS BPB. Fusha me offset 6 përmban numrin maksimal të përshkruesve të skedarëve në direktoriumin rrënjë të diskut (kjo fushë korrespondon me linjën e hyrjeve në direktorinë Root kur formatoni përmbajtjen e sektorit të nisjes me programin DISKEDIT).

Madhësia e një përshkruesi të vetëm është 32 bajt, kështu që shumëzimi i numrit maksimal të përshkruesve me këtë numër jep madhësinë e direktoriumit rrënjë në bajt. Duke ditur madhësinë e sektorit (512 bytes), është e lehtë të përcaktohet numri i sektorëve të zënë nga direktoria rrënjësore.

Tani le të flasim për përshkruesit e skedarëve.

Çdo direktori (duke përfshirë atë rrënjë) përmban elemente 32 bajt - përshkrues që përshkruajnë skedarë dhe drejtori të tjera. Këtu është formati i përshkruesit të përdorur në sistemin operativ MS-DOS:

Vini re fushën në zhvendosje 0x1A. Ky është numri i grupit të parë të alokuar në një skedar ose drejtori (nëse përshkruesi përshkruan një drejtori të nivelit më të ulët). Duke përdorur këtë vlerë, mund të gjurmoni të gjithë zinxhirin e grupimeve të alokuara në një skedar ose drejtori të caktuar në tabelën e ndarjes së skedarëve FAT. Kështu, ne kemi një mënyrë për të gjetur fillimin e zinxhirit të grupimit për çdo skedar - thjesht duhet të gjejmë përshkruesin përkatës.

Në çdo direktori përveç direktoriumit rrënjë, dy përshkruesit e parë kanë një qëllim të veçantë. Përshkruesi i parë përmban vargun në fushën e emrit:

". "

Ky përshkrues tregon direktoriumin që përmban. Kjo do të thotë, drejtoria ka një lidhje me vetveten. Përshkruesi i dytë special përmban vargun në fushën e emrit:

".. "

Ky përshkrues tregon për një drejtori të nivelit më të lartë.

Nëse fusha e numrit të grupit të parë të zënë për përshkruesin me emrin ".." përmban një vlerë zero, do të thotë se kjo direktori gjendet në direktoriumin rrënjë.

Struktura pemë e drejtorive përmban lidhje që adresojnë drejtoritë si përpara ashtu edhe prapa. Këto lidhje mund të përdoren për të kontrolluar integritetin e strukturës së dosjeve të sistemit të skedarëve.

Bajt i atributit zotërohet nga çdo skedar. Atributet bit byte kombinohen duke përdorur një operacion logjik OR. Ato kanë kuptimet e mëposhtme:

Bit	Përshkrim
0	Skedari është vetëm për lexim. Ky skedar nuk mund të shkruhet dhe nuk mund të fshihet.
1	Skedar i fshehur. Ky skedar nuk do të shfaqet në listën e skedarëve të shfaqur nga komanda DIR
2	Skedari i sistemit. Ky bit zakonisht vendoset për skedarët që janë pjesë e sistemit operativ.
3	Ky përshkrues përshkruan etiketën e diskut. Për këtë përshkrues, fusha e emrit të skedarit dhe fusha e zgjerimit të emrit të skedarit duhet të trajtohen si një fushë me 11 bajt. Kjo fushë përmban etiketën e diskut
4	Përshkruesi përshkruan një skedar që është një nëndrejtori e kësaj drejtorie
5	Flamuri i arkivit. Nëse ky bit është vendosur në 1, atëherë ky skedar nuk është shkarkuar nga programi i arkivimit
6-7	Rezervuar

Në mënyrë tipike, skedarët kanë atributet e mëposhtme:

Kur një skedar fshihet, bajt i parë i emrit të tij zëvendësohet me bajt 0xE5 (karakteri "x"). Pas kësaj, të gjitha grupet e alokuara në skedarin e largët shënohen si të lirë në tabelën FAT.

Nëse sapo e keni fshirë skedarin, mund ta riktheni përsëri, pasi të gjitha fushat në përshkrues ruhen përveç bajtit të parë të emrit të skedarit. Por nëse shkruani skedarë të rinj në disk, mund të ndodhë që përmbajtja e grupeve të skedarit të fshirë të ndryshojë. Në këtë rast, rikuperimi i skedarit do të bëhet problematik.

Tani në lidhje me fushat e orës dhe datës.

Pesë shifrat e sipërme të fushës së kohës përmbajnë vlerën e orës së modifikimit të skedarit, gjashtë shifrat me numër 5-10 ruajnë vlerën e minutave të modifikimit të skedarit dhe, së fundi, 5 shifrat e poshtme përmbajnë vlerën e sekondave të pjesëtuar me 2. që koha e përditësimit të skedarit të përshtatej në gjashtëmbëdhjetë shifra, më duhej të shkoja për të ulur saktësinë e kohës në dy sekonda. Në shumicën dërrmuese të rasteve, një rënie e tillë e saktësisë nuk luan ndonjë rol.

Formati i datës së përditësimit të skedarit i ngjan formatit të kohës. Shifrat 9-15 janë të rezervuara për ruajtjen e vitit, 5-8 për ruajtjen e muajit dhe 0-4 për ruajtjen e ditës së javës. Për të marrë vlerën e vitit të përditësimit të skedarit, është e nevojshme të shtoni vlerën 1980 në vlerën e ruajtur në shtatë bitet e sipërme.

Disa viruse përdorin fushat e orës dhe datës për të shënuar skedarët e infektuar. Një shenjë e tillë është e nevojshme për të shmangur ri-infeksionin. Megjithatë, kjo metodë primitive përdoret vetëm nga viruset më të thjeshtë.

Fusha e gjatësisë në përshkrues përmban gjatësinë e saktë të skedarit në bajt. Për drejtoritë, fusha e gjatësisë është vendosur në zero.

Kur një virus infekton një skedar, gjatësia e tij zakonisht rritet. Megjithatë, viruset e fshehta që fshehin praninë e tyre në sistem e maskojnë në mënyrë efektive këtë rritje. Prandaj, mund të vërehet vetëm kur sistemi operativ niset nga një disketë "bosh" që është e lirë nga infeksioni me virus.

Shfletimi i drejtorisë

Ne do të përdorim programin DISKEDIT për të parë drejtoritë për të kontrolluar strukturën e tyre. Ekzekutoni këtë program dhe nga menyja Object zgjidhni linjën Directory. Kutia e dialogut Change Directory do të shfaqet në ekran.

Në anën e majtë të kutisë së dialogut, shfaqet pema e drejtorive të diskut aktual. Zgjidhni direktorinë rrënjë C: \ dhe klikoni OK. Pas kësaj, përmbajtja e direktoriumit rrënjë do të shfaqet në ekran në një formë të formatuar (Fig. 8).

Oriz. 8. Shikoni kopjen e parë të formatuar të tabelës së ndarjes së FAT

Duke analizuar informacionin e marrë, mund të gjeni ndryshime të dyshimta në madhësinë e skedarit, datën dhe fushat e orës. Përveç kësaj, për çdo skedar, kolona Cluster shfaq numrin e grupit të parë të alokuar për të.

Duke përdorur menynë View, mund të kaloni në pamjen e paformatuar kur përmbajtja e drejtorisë shfaqet si depon.

Kushtojini vëmendje menusë Link. Me ndihmën e kësaj menyje mund të kaloni në shikimin e strukturave të lidhura logjikisht të sistemit të skedarëve.

Si ushtrim, zgjidhni skedarin IO.SYS në direktorinë rrënjë të diskut C: dhe më pas zgjidhni Cluster chain (FAT) nga menyja Link. Do të shihni kopjen e parë të tabelës së ndarjes së skedarëve FAT, me zinxhirin e grupimit të theksuar në skedarin IO.SYS të theksuar me ngjyra. Duke përdorur linjën File të menysë Link, është e lehtë të kaloni në mënyrën e shikimit të përmbajtjes së skedarit IO.SYS.

Vini re se në shumë raste është e mundur të kryhen kalime midis strukturave të të dhënave të lidhura logjikisht duke klikuar dy herë butonin e majtë të miut në imazhin e këtyre strukturave, gjë që është shumë e përshtatshme. Për detaje, shihni dokumentacionin për paketën e softuerit Norton Utilities.

Çfarë duhet të kërkoni kur kontrolloni strukturën e drejtorisë?

Përveç kontrollit vizual të fushave të përshkruesve të vendosur atje, duhet të shikoni të gjithë drejtorinë deri në fund. Sigurohuni që të mos ketë të dhëna të jashtme në drejtori. Ato mund të shkruhen atje nga një virus.

Nëse kaloni në modalitetin e pamjes së paformatuar, mund të siguroheni që hyrjet e direktorisë falas përmbajnë vlera zero. Nëse pas elementeve të lira ka ndonjë të dhënë, ka një probabilitet shumë të lartë që ato të jenë shkruar nga një virus ose nga sistemi i mbrojtjes së programit kundër kopjimit të paautorizuar (nëse drejtoria e analizuar përmban programe të tilla).

Në rast se drejtoria është dëmtuar plotësisht ose pjesërisht, lidhjet me skedarët e përshkruar në të do të humbasin. Nëse gjeni në një mënyrë ose në një tjetër sektorët që përmbajnë skedarin që ju nevojitet me një përshkrues të shkatërruar, atëherë duke përdorur metodën e përshkruar më poshtë, mund të rivendosni përshkruesin dhe të fitoni akses në skedar.

Drejtoritë në sistemin e skedarëve VFAT

Kur rivendosni sistemin e skedarëve FAT të një kompjuteri me Microsoft Windows 95/98 / NT / 2000, duhet të jeni të kujdesshëm, pasi struktura e drejtorisë në të është e ndryshme nga ajo e përshkruar më sipër.

Siç e dini ndoshta, përdoruesit e Microsoft Windows 95/98 nuk janë shumë të kufizuar nga kufizimet në gjatësinë e emrave të skedarëve dhe drejtorive. Dhe megjithëse teorikisht ekziston një kufizim i tillë (255 karaktere), ai nuk është domethënës.

Gjatë krijimit të një sistemi të ri operativ, programuesit e Microsoft kanë gjetur një zgjidhje të zgjuar për problemin e përputhshmërisë me programet MS-DOS duke përdorur emra në "format 8.3" (8 karaktere - emri i skedarit ose drejtorisë, 3 - zgjerimi i emrit).

Kjo zgjidhje konsiston në faktin se në drejtori, së bashku me përshkruesit e zakonshëm, ka përshkrues të një lloji të veçantë. Numri i përshkruesve të tillë varet nga gjatësia e emrit të skedarit ose drejtorisë. Pikërisht në këta përshkrues ruhet emri i gjatë. Për programet MS-DOS, krijohet një përshkrues i rregullt që përmban një emër alternativ që përputhet me standardet MS-DOS.

Sistemi i ri i skedarëve quhet VFAT.

Hidhini një sy fig. 9. Kjo figurë tregon strukturën e një drejtorie të krijuar në sistemin e skedarëve Microsoft Windows 98.

Oriz. 9. Përshkrues të zgjeruar dhe alternativ për emrat e gjatë në direktoriumin rrënjë

Vini re tre përshkruesit poshtë përshkruesit të skedarit IO.SYS. Këta janë përshkrues të veçantë të zgjeruar që ruajnë informacione rreth emrave të gjatë në kodimin UNICODE (në këtë kodim, çdo karakter përfaqësohet nga dy bajt). Në këtë rast, përshkruesit e zgjeruar ruajnë emrin e drejtorisë DesignWorkshop Lite Installer.

Për të siguruar që përshkruesit e veçantë të mos ndërhyjnë në funksionimin e programeve MS-DOS, në to vendosen atributet Read Only, System, Hidden dhe Volume Label. Programet e rregullta MS-DOS injorojnë hyrjet e drejtorive me një grup të tillë ekzotik atributesh.

Përshkruesi special është shënuar si LFN (Emri i skedarit të gjatë) nga versioni i ri i DISKEDIT dhe i referohet numrit të grupit 0. Numri real i grupit të parë të alokuar në një skedar ose drejtori është në përshkruesin standard menjëherë pas përshkruesit të zgjeruar. Në këtë rast, është doreza e një drejtorie të quajtur DISIGN ~ 1 e vendosur në grupin 1274.

Nëse emri i skedarit ose drejtorisë është më i gjatë se 8 karaktere, përshkruesi standard që ndjek përshkruesin e zgjeruar përmban një emër alternativ që përbëhet nga karakteret fillestare të emrit, karakteri ~ (tilde) dhe një numër dhjetor. Ky përshkrues quhet alternativ.

Sistemi operativ Microsoft Windows NT / 2000 gjithashtu krijon përshkrues të zgjeruar dhe alternativ në ndarjet FAT.

Duke përdorur rreshtin Më shumë të menysë kryesore të programit DISKEDIT, mund të shikoni ose modifikoni pjesën tjetër të fushave të përshkruesve të veçantë.

Për shembull, data dhe ora e krijimit të skedarit janë përkatësisht në fushat "Krijoni datën" dhe "Krijoni orën". Për më tepër, sistemi operativ Microsoft Windows 95/98 regjistron datën e hyrjes së fundit në skedar. Ju mund ta shihni këtë datë në fushën e aksesuar.

Fusha EA përmban një flamur për atributet e zgjeruara dhe ka një vlerë zero për atributet standarde.

Nëse emri është aq i gjatë sa nuk përshtatet në një përshkrues të veçantë, krijohen disa përshkrues të tillë, të vendosur njëri pas tjetrit. Kjo pasohet nga një përshkrues alternativ. Fusha Ordinal përmban numrin rendor të përshkruesit të personalizuar. Për përshkruesin e fundit të personalizuar, fusha e fundit është shënuar Po.

Për ata që janë të interesuar për formatin e saktë të përshkruesve standard dhe të zgjeruar VFAT, ne kemi ofruar një fragment të kodit burimor të programit CrashUndo 2000. Ky është një bashkim i dy strukturave, e para prej të cilave korrespondon me përshkruesin standard dhe e dyta në atë të zgjeruar:

Unioni Typedef _FAT_DIR_ENTRY
{
struct _DIR
{
BYTE dir_Emri; // emri
BYTE dir_Extension; // zgjerimi i emrit
BYTE dir_Atributet; // atributet
BYTE dir_NTE rezervuar; // e rezervuar për Windows NT
BYTE dir_CreateTimeTenth; // të dhjetat e kohës së krijimit
UINT16 dir_CreateTime; // koha e krijimit
UINT16 dir_CreateDate; // data e krijimit
UINT16 dir_LastAccessDate; // data e hyrjes së fundit
UINT16 dir_FirstClusterHi; // fjalë e lartë e numrit të grupit
UINT16 dir_WriteTime; // koha e përditësimit
UINT16 dir_WriteDate; // data e përditësimit
UINT16 dir_FirstClusterLo; // fjala më pak e rëndësishme e numrit të grupit
UINT32 dir_FileSize; // madhësia e skedarit
) dir; struct _LFN
{
BYTE lfn_Sequence; // numri përshkrues
WCHAR lfn_Emri1; // pjesa e parë e emrit
BYTE lfn_Atributet; // atributet
BYTE lfn_LongEntryType; // flamuri i atributit të zgjeruar
BYTE lfn_Checksum; // kontrolli i emrit
WCHAR lfn_Emri2; // pjesa e dytë e emrit
UINT16 lfn_Reserved; // e rezervuar
WCHAR lfn_Emri3; // pjesa e tretë e emrit
) lfn;
) FAT_DIR_ENTRY, * PFAT_DIR_ENTRY;

Vini re se dy fushat 16-bit dir_FirstClusterHi dhe dir_FirstClusterLo përdoren për të ruajtur numrin e grupit të parë të alokuar në një skedar ose drejtori.

Sa i përket tabelës së ndarjes së skedarëve FAT, megjithëse në Microsoft Windows 95/98 quhet Tabela e ndarjes së skedarëve virtualë (VFAT), formati i saj mbetet i njëjtë. Kjo është për pajtueshmërinë me programet MS-DOS. Janë ruajtur edhe formatet e blloqeve të tjera logjike të sistemit të skedarëve, si tabela e ndarjes së diskut, tabela logjike e diskut, regjistrimi i nisjes dhe BIOS Extended BPB.

Vini re se versionet më të vjetra të Norton Utilities nuk mund të përdoren për të rivendosur sistemin e skedarëve Microsoft Windows 95/98, pasi ata nuk dinë asgjë rreth përshkruesve të zgjeruar dhe alternativ.

Zona e të dhënave

Pas direktoriumit rrënjë, fillon një zonë e të dhënave, e cila shtrihet deri në fund të diskut logjik. Kjo zonë ndahet në grupe dhe numërimi i grupimeve fillon me numrin 2. Sektorët e parë të zonës së të dhënave korrespondojnë me grupin numër 2.

Këtu është një formulë që lidh numrin e grupit me numrat e sektorëve që ai zë në diskun logjik:

SectNumber = DataStart + ((ClustNumber - 2) * ClustSize)

Kjo formulë përdor shënimin e mëposhtëm:

Kjo formulë mund të jetë e dobishme për rikuperimin manual të sistemit të skedarëve.

Gjeni dhe rikuperoni skedarët në ndarjet FAT

Në këtë seksion, ne do të ofrojmë disa rekomandime që synojnë rikuperimin e skedarëve që janë bërë të pamundur për t'u aksesuar për shkak të veprimit keqdashës të viruseve ose si rezultat i shkatërrimit të sistemit të skedarëve FAT për ndonjë arsye tjetër. Në çdo rast, përpara se të filloni punën e rikuperimit, duhet të bëni një studim të plotë të BIOS-it dhe cilësimeve të sistemit të skedarëve duke përdorur informacionin që kemi dhënë më parë.

Gjithashtu duhet të siguroheni që të zotëroni mirë strukturën e sistemit të skedarëve dhe të njihni formatet e të gjithë përbërësve të tij, si tabelën e ndarjeve, tabelën logjike të diskut, tabelën e ndarjes së skedarëve FAT etj.

Nëse në procesin e ekzaminimit të sistemit të skedarëve zbuloni se disa struktura janë shkatërruar plotësisht (për shembull, rekordi kryesor i nisjes me tabelën e ndarjes, tabela e disqeve logjike, drejtoritë, etj.), gjithçka nuk ka humbur.

Nëse siguria e informacionit nuk është e një rëndësie vendimtare për ju, atëherë shumë dëmtime në sistemin e skedarëve mund të rregullohen automatikisht duke përdorur programet Norton Disk Doctor ose SCANDISK. Megjithatë, këto programe shumë të mira në disa raste nuk do të jenë në gjendje t'ju ofrojnë ndihmë të konsiderueshme. Më keq, ata mund të shkatërrojnë përgjithmonë strukturën logjike të diskut, pas së cilës rikuperimi i skedarit bëhet i pamundur.

Prandaj, duhet të zotëroni të paktën teknikat bazë të rikuperimit manual të sistemit të skedarëve. Në raste të rënda ose kritike, ju rekomandojmë fuqimisht të na kontaktoni në shërbimin DataRecovery.Ru përmes serverit http://www.datarecovery.ru ose http://www.frolov.pp.ru.

Ideja kryesore pas gjetjes së skedarëve të humbur dhe strukturave të të dhënave është që ju të dini (të paktën afërsisht) emrin ose përmbajtjen e tyre.

Për shembull, sektorët që përmbajnë tabelën e ndarjes, tabelën logjike të diskut dhe regjistrimin e nisjes kanë nënshkrimin 0xAA55. Ju e dini nga seksionet e mëparshme të këtij kapitulli se programet e nisjes përmbajnë vargje teksti të njohura në trupat e tyre. Ju mund t'i përdorni ato për të kërkuar. Linja të tilla janë gjithashtu të pranishme në trupin e bllokut të zgjeruar të parametrave BIOS Extended PBP (këto janë linja FAT12, FAT16 ose FAT32).

Nëse i dini fjalët karakteristike ose sekuencat e bajtit që gjenden në skedarët e të dhënave të humbura, ato janë gjithashtu të dobishme për gjetjen e sektorëve të skedarëve për rikuperim.

Kërko me Norton File Find

Dëmtimi më i zakonshëm i sistemit të skedarëve FAT ndodh gjatë një ndërprerjeje të papritur të energjisë dhe është shfaqja e të ashtuquajturave grupime jetimore. Ky dëmtim është gjithashtu rezultat i një rivendosjeje të vështirë të kompjuterit gjatë funksionimit të sistemit operativ Microsoft Windows.

Grupet e humbura quhen kështu sepse nuk referohen në asnjë drejtori në sistemin e skedarëve. Një situatë e tillë mund të lindë, për shembull, për shkak të faktit se drejtoria përkatëse thjesht u shkatërrua dhe, për rrjedhojë, lidhjet me skedarët e përshkruar në të u zhdukën.

Më shpesh, për të riparuar dëmtime të këtij lloji, përdoruesit përdorin programin SCANDISK, i cili është pjesë e sistemit operativ, ose programin Norton Disk Doctor.

Pas rivendosjes së sistemit të skedarëve duke përdorur Norton Disk Doctor ose SCANDISK, në disk mund të formohet një numër i madh skedarësh me një shtrirje të veçantë emri, të përbërë nga zinxhirë grupesh të humbura (çdo program rikuperimi përdor emrin e tij). Mund të ketë deri në disa mijëra skedarë të tillë, në varësi të ashpërsisë së dëmtimit të sistemit të skedarëve.

Nëse, pas një dështimi ose sulmi virusi, keni kontrolluar diskun e një prej programeve të listuara më sipër dhe si rezultat skedarët që ju nevojiten u zhdukën, ekziston një probabilitet i lartë që ata të ishin ndër skedarët e rikuperuar. Megjithatë, si t'i gjeni ato midis qindra e mijëra të tjerëve?

Mënyra më e lehtë për ta bërë këtë është, për shembull, duke përdorur programin Norton Find File. Mund të lëshohet nga guaska popullore Norton Commander duke përdorur kombinimin e tastit Alt + F7.

Në fushën File (s) për të gjetur, duhet të specifikoni një model për emrin e skedarit dhe zgjerimin e emrit, për shembull, * .NDD. Kërkimi do të kryhet vetëm midis skedarëve, emri i të cilëve përputhet me modelin e specifikuar.

Duhet gjithashtu të specifikoni në fushën Containing kontekstin për kërkimin, domethënë çdo varg teksti që është i pranishëm në skedar. Për shembull, për të gjetur të gjithë skedarët e krijuar nga përpunuesi i tekstit Microsoft Word për Windows, mund të specifikoni vargun e kontekstit "Microsoft Word" dhe për të gjetur të gjithë skedarët e përgatitur në mjedisin e procesorit të fletëllogaritjes Microsoft Excel, specifikoni vargun e kontekstit "Microsoft Excel " .

Një listë e shtigjeve për skedarët e gjetur shfaqet në krye të dritares Norton Find File.

Më vonë, nëse ka ende shumë skedarë të gjetur, mund t'i rishkruani në një drejtori të veçantë dhe t'i riemërtoni, dhe më pas të vazhdoni kërkimin duke përdorur vargje të tjera si kontekst.

Duke kërkuar me DISKEDIT

Krahasuar me programin Norton Find File të përshkruar në seksionin e mëparshëm, DISKEDIT ofron shumë më tepër opsione për gjetjen e skedarëve dhe strukturave të ndryshme të sistemit të skedarëve.

Kërkoni për seksione

Vini re menunë DISKEDIT Tools.

Nëse zgjidhni vijën Gjej nga kjo meny, në ekran shfaqet kutia e dialogut Enter search text. Duke përdorur këtë kuti dialogu, mund të kryeni kërkime kontekstuale për vargjet e dhëna si në përfaqësime të karaktereve ashtu edhe në heksadecimal. Për më tepër, mund të specifikoni kompensimin e sektorit dhe të zgjidhni modalitetin Injoro Case. Kur përdorni këtë mënyrë, krahasimi i modeleve do të kryhet pa marrë parasysh shkronjat e mëdha ose të vogla.

Linja Find Object ju lejon të kërkoni për struktura të ndryshme në sistemin e skedarëve. Nëse zgjidhni këtë linjë, në ekran do të shfaqet një meny e nivelit të dytë, ku janë linjat Ndarje / Boot, FAT dhe Nëndirektoria.

Provoni të gjitha në veprim. Për ta bërë këtë, hapni menunë Object dhe zgjidhni linjën e Sektorit fizik prej saj. Pastaj zgjidhni sektorin e parë që ndodhet në pistën 0. Ky sektor duhet të përmbajë MBR. Kalo te pamja e paformatuar duke zgjedhur rreshtin si Hex nga menyja View.

Por, çka nëse shikoni Master Boot Record dhe shihni se tabela e ndarjes është e korruptuar ose e koduar?

Në këtë rast, mund të kryeni një kërkim kontekstual për sektorët e regjistrimit të nisjes që përmbajnë blloqe të parametrave të BIOS BPB. Mënyra më e lehtë për ta bërë këtë është duke zgjedhur linjën Partition / Boot nga menyja Tools / Find Object pasi të keni parë rekordin kryesor të nisjes në adresën e tij fizike dhe të kaloni në sektorin tjetër të diskut.

Programi DISKEDIT do të gjejë një sektor që përmban sekuencën e bajtit "55 AA" në fund, që korrespondon me nënshkrimin e sektorit të nisjes 0xAA55.

Pasi të keni gjetur sektorin e nisjes, adresa e tij fizike mund të zëvendësohet manualisht në tabelën e ndarjes duke e modifikuar atë me programin DISKEDIT.

Meqenëse struktura e ndarjeve të diskut gjatë funksionimit të këtij të fundit mund të ndryshojë shumë herë, është e mundur që të gjeni shumë sektorë të nisjes. Disa prej tyre i përkisnin ndarjeve të vjetra dhe nuk u shkatërruan kur u ndryshua struktura e ndarjes, disa mund t'i përkasin fare sistemeve të tjera operative. Në çdo rast, kontrolloni vendndodhjen e sektorit të boot-it të gjetur në lidhje me strukturat e tjera logjike të sistemit të skedarëve që keni gjetur. Për shembull, mund të përdorni faktin që tabela e ndarjes së skedarëve duhet të ndjekë menjëherë pas sektorit të nisjes së ndarjes FAT për "të njohur".

Meqenëse gjatë kërkimit programi DISKEDIT kontrollon vetëm dy bajtet e fundit të sektorit, janë të mundshme false pozitive. Pas sektorit të gjetur, mund të ketë një sektor, përmbajtja e të cilit nuk është shumë e ngjashme me tabelën e ndarjes së skedarëve.

Gjetja e tabelave FAT

Tani zgjidhni linjën Find Object nga menyja Tools dhe më pas linjën FAT. DISKEDIT do të kërkojë për kopjen e parë të tabelës së ndarjes së skedarëve FAT dhe do të shfaqë një grumbull të saj, duke theksuar tre bajtet e para.

Nëse tani e lëvizni kursorin e tekstit poshtë ose shtypni tastin PgDn dhe më pas zgjidhni sërish rreshtin FAT nga menyja "Vegla / Gjeni objektin", gjendet një kopje e dytë e tabelës së ndarjes së skedarëve FAT.

Vini re se kërkimi për tabelat FAT në këtë rast reduktohet në një kërkim për sekuencën e bajteve "F8 FF FF", kështu që pasi të keni kryer kërkimin për herë të tretë, mund të gjeni një "tabela FAT" të rreme. Fakti është se ndoshta ka ndonjë skedar në disk që përmban sekuencën e mësipërme të bajteve, prandaj kini kujdes.

Gjetja e drejtorive të humbura

Tani le të fillojmë të kërkojmë katalogët e humbur. Nuk ka lidhje me drejtori të tilla nga drejtori të tjera.

Për të kërkuar, mund të përdorni linjën e Nëndirektorisë së menysë Tools / Find Object. Programi DISKEDIT skanon sektorët e diskut në kërkim të njërit në fillim të të cilit ka një sekuencë bajtësh "2E 20 20 20 20 20 20 20 20 20 20". Kjo sekuencë përputhet me një përshkrues që përmban një referencë drejtorie për veten e tij.

Duke shtypur kombinimin e tasteve Ctrl + G, mund të vazhdoni të kërkoni për drejtorinë e dëshiruar derisa të gjeni atë që përmban skedarët që ju interesojnë. Mund të kërkoni gjithashtu sipas emrit të skedarit nëse e dini.

Pasi të gjendet direktoria e kërkuar, është e nevojshme të shkruani adresën fizike të sektorit të diskut që përmban direktoriumin dhe më pas të gjeni ose llogaritni numrin e grupit që korrespondon me drejtorinë.

Për të gjetur numrin e grupit në të cilin ndodhet drejtoria e gjetur, kaloni në pamjen e formatuar të drejtorisë duke zgjedhur rreshtin si Directory nga menyja View. Pastaj zgjidhni linjën Cluster chain (fat) nga menyja Link. Përmbajtja e tabelës FAT do të shfaqet në ekran në modalitetin e pamjes së formatuar, me numrin e dëshiruar të grupit të theksuar.

Rikuperoni drejtoritë dhe skedarët e humbur

Duke ditur numrin e grupit të drejtorisë së humbur, mund të krijoni një përshkrues të ri direktoriumi, për shembull, në direktorinë rrënjë të një disku dhe të bëni një lidhje në këtë përshkrues me direktorinë e gjetur. Pas kësaj, drejtoria e humbur do të bëhet sërish e disponueshme.

Vini re se për sistemin e skedarëve VFAT, duhet të plotësoni saktë fushën e shumës së kontrollit të emrit në përshkruesin e zgjeruar dhe gjithashtu të specifikoni numrin 32-bit të grupit të parë të alokuar në skedar.

Ju mund të sugjeroni algoritmin e mëposhtëm të rikuperimit të skedarëve:

• kryeni një kërkim kontekstual për sektorët e skedarëve duke përdorur linjën Files nga menyja Tools, si dhe shikimin sekuencial të sektorëve të diskut;
• përcaktoni numrin e grupimeve që korrespondojnë me sektorët e gjetur, duke përdorur formulën e mësipërme ose duke përdorur programin DISKEDIT;
• rivendosni zinxhirin e numrave të grupimit për një skedar në tabelën e ndarjes së skedarëve FAT, duke shënuar grupin e fundit në të me një vlerë të veçantë (si p.sh. 0xFFFF për FAT-16);
• krijoni një përshkrues skedari në çdo drejtori (për shembull, në rrënjë);
• specifikoni në përshkruesin e krijuar një lidhje me grupin e parë të skedarit të rikuperuar dhe madhësinë e skedarit.

Nëse keni restauruar një skedar dokumenti të krijuar nga një përpunues teksti Microsoft Word për Windows ose përpunues i fletëllogaritjes Microsoft Excel, ngarkoni atë në aplikacionin e duhur dhe më pas ruajeni me një emër tjetër. Kjo do të rivendosë gjatësinë e saktë të skedarit.

Një skedar teksti i thjeshtë mund të ngarkohet në një redaktues teksti dhe të "prerë" të dhënat shtesë në fund të skedarit. Pastaj ruani skedarin me një emër tjetër.

Nëse e dini gjatësinë e saktë të skedarit, mund ta vendosni duke përdorur programin DISKEDIT në modalitetin e redaktimit të përshkruesit të skedarit (Fig. 9).

viruset kompjuterike

Viruset e skedarëve

Virusi mund të depërtojë në tre lloje skedarësh:

Ekipi (BAT);

Drejtues të ngarkueshëm (IO.SYS, MSDOS.SYS, etj.);

Binarët e ekzekutueshëm (EXE, COM).

Është e mundur të futet një virus në skedarët e të dhënave, por këto raste ndodhin ose si rezultat i një gabimi të virusit, ose kur virusi shfaq vetitë e tij agresive.

Një virus futet në një skedar SYS si më poshtë: viruset futen në një skedar SYS, caktojnë kodet e tyre në trupin e skedarit dhe modifikojnë adresat e programeve Strategjia dhe Interrupt të drejtuesit të infektuar (ka viruse që ndryshojnë adresën e vetëm një nga programet). Kur një drejtues i infektuar inicializohet, virusi kap kërkesën përkatëse nga sistemi operativ, e transferon atë te drejtuesi, pret një përgjigje ndaj tij, e korrigjon atë dhe mbetet në RAM së bashku me drejtuesin në një bllok memorie. Një virus i tillë mund të jetë jashtëzakonisht i rrezikshëm dhe këmbëngulës, pasi futet në RAM kur ngarkohet DOS para çdo programi antivirus, nëse është, natyrisht, edhe një drejtues.

Skedari i shoferit të infektuar:

Është gjithashtu e mundur të infektohet drejtuesi i sistemit në një mënyrë tjetër, kur virusi modifikon kokën e tij në mënyrë që DOS të trajtojë skedarin e infektuar si një zinxhir prej dy (ose më shumë) skedarësh.

Skedari i shoferit të infektuar:

Në mënyrë të ngjashme, një virus mund të shkruajë kodet e tij në fillim të drejtuesit, dhe nëse skedari përmban disa drejtues, atëherë në mes të skedarit.

Një virus futet në skedarët COM dhe EXE në mënyrën e mëposhtme: binarët e ekzekutueshëm janë në formate COM ose EXE, që ndryshojnë në kokën dhe mënyrën se si programet janë nisur për ekzekutim. Zgjatja e emrit të skedarit (COM ose EXE) nuk korrespondon gjithmonë me formatin aktual të skedarit, gjë që nuk ndikon në funksionimin e programit në asnjë mënyrë. Skedarët COM ose EXE infektohen në mënyra të ndryshme, prandaj virusi duhet të dallojë skedarët e një formati nga një tjetër.

Viruset e zgjidhin këtë problem në dy mënyra: disa analizojnë zgjerimin e emrit të skedarit, të tjerët - kokën e skedarit. Metoda e parë do të referohet më poshtë si infeksion. Skedarët COM- (.EXE-), metoda e dytë e infektimit: skedarët COM- (EXE-). Në shumicën e rasteve, virusi infekton skedarin në mënyrë korrekte, domethënë, nga informacioni që përmban trupi i tij, është e mundur të rivendosni plotësisht skedarin e infektuar. Por viruset, si shumica e programeve, shpesh përmbajnë gabime që janë të padukshme në shikim të parë. Për shkak të kësaj, edhe një virus i shkruar plotësisht saktë mund të dëmtojë në mënyrë të pakthyeshme skedarin nëse mposhtet. Për shembull, viruset që dallojnë llojet e skedarëve sipas shtrirjes së emrit (.COM-, .EXE-) janë shumë të rrezikshëm sepse prishin skedarët, zgjerimi i emrit të të cilëve nuk korrespondon me formatin e brendshëm.

Kur përhapen, viruset e skedarëve futen në trupin e një skedari të infektuar: fillimi, fundi ose mesi. Ekzistojnë disa mundësi për futjen e një virusi në mes të një skedari: ai mund të kopjohet në tabelën e cilësimeve të adresës së skedarit EXE ("Boot - Exe"), në zonën e stivës së skedarit COMMAND.COM ("Lehigh") , mund të zgjerojë skedarin ose të mbishkruajë një pjesë të skedarit në fund , dhe kodet e tij - në hapësirën e lirë ("April - 1 - Exe", "Phoenix"), etj. Përveç kësaj, kopjimi i një virusi në mesi i një skedari mund të ndodhë si rezultat i një gabimi të virusit. Në këtë rast, skedari mund të dëmtohet në mënyrë të pakthyeshme. Ka mënyra të tjera për të futur një virus në mes të një skedari, për shembull, virusi "Mutant" përdor një metodë për të kompresuar disa pjesë të skedarit.

Një virus mund të futet në fillim të një skedari në tre mënyra. Mënyra e parë është që virusi rishkruan fillimin e skedarit të infektuar deri në fund, dhe vetë kopjohet në hapësirën e zbrazur. Kur një skedar infektohet me metodën e dytë, virusi krijon një kopje të tij në RAM, i shton skedarin e infektuar dhe ruan lidhjen që rezulton në disk. Kur infektohet me metodën e tretë, virusi shkruan kodet e tij në fillim të skedarit pa ruajtur përmbajtjen e vjetër të fillimit të skedarit, natyrisht, skedari ndalon së punuari dhe nuk restaurohet.

Injektimi i virusit në fillim të një skedari përdoret në shumicën dërrmuese të rasteve kur skedarët COM janë të infektuar. Skedarët EXE infektohen me këtë metodë ose si rezultat i një gabimi të virusit ose duke përdorur algoritmin e virusit "Pascal".

Futja e një virusi në fund të një skedari është metoda më e zakonshme e infektimit. Në këtë rast, virusi ndryshon fillimin e skedarit në atë mënyrë që komandat e para të ekzekutuara të programit që përmban skedari janë komandat e virusit. Në një skedar COM, kjo arrihet duke ndryshuar tre (ose më shumë) bajtë e tij të parë në kodet e udhëzimit JMP Loc_Virus (ose, në përgjithësi, në kodet e programit që transferon kontrollin në trupin e virusit). Skedari EXE ose konvertohet në një format skedari COM dhe më pas infektohet si i fundit, ose modifikohet titulli i skedarit (gjatësia, adresat e fillimit).

Një metodë standarde e infeksionit është një metodë në të cilën një virus shtohet në fund të një skedari dhe ndryshon bajtët e parë të një skedari COM dhe disa fusha të kokës së një skedari EXE.

Virusi, pasi transferon kontrollin tek ai, vepron sipas algoritmit të mëposhtëm:

Rivendos programin (por jo skedarin) në formën e tij origjinale;

Nëse virusi është rezident i memories, ai kontrollon RAM-in për një kopje të tij dhe infekton memorien e kompjuterit nëse nuk gjendet kopje; nëse virusi nuk është rezident i memories, ai kërkon skedarë të pa infektuar në drejtoritë aktuale dhe rrënjët, në drejtoritë e shënuara në komandën PATH, skanon pemën e direktorive të disqeve logjike dhe më pas infekton skedarët e zbuluar;

Kryen, nëse ka, funksione shtesë: veprime shkatërruese, efekte grafike ose zanore.

E kthen kontrollin në programin kryesor.

Boot viruse

Viruset e nisjes infektojnë sektorin e nisjes së disketës dhe sektorin Boot, ose Master Boot Record të hard drive-it. Kur një disk infektohet, virusi në shumicën e rasteve transferon sektorin origjinal Boot në një sektor tjetër të diskut. Nëse gjatësia e virusit është më e madhe se gjatësia e sektorit, atëherë pjesa e parë e virusit zhvendoset në sektorin e infektuar, pjesa tjetër vendoset në sektorë të tjerë. Pastaj virusi kopjon informacionin e sistemit të ruajtur në ngarkuesin fillestar dhe i shkruan ato në sektorin e nisjes (për MBR ky informacion është Tabela e Ndarjes së Diskut, për sektorin Boot të disketave - Blloku i parametrave BIOS).

Algoritmi i virusit të nisjes.

Injektimi i memories ndodh kur niset nga një disk i infektuar. Në këtë rast, ngarkuesi i nisjes lexon përmbajtjen e sektorit të parë të diskut nga i cili është ngarkuar, vendos informacionin e lexuar në memorie dhe transferon kontrollin tek ai (d.m.th., te virusi). Pas kësaj, udhëzimet e virusit fillojnë të ekzekutohen, gjë që zvogëlon sasinë e kujtesës së lirë; lexon vazhdimin e tij nga disku; transferohet në një zonë tjetër të kujtesës; vendos vektorët e kërkuar të ndërprerjes; kryen veprime shtesë; kopjon sektorin origjinal Boot në memorie dhe transferon kontrollin në të.

Në të ardhmen, virusi i nisjes sillet në të njëjtën mënyrë si një virus i skedarëve rezidentë të memories: përgjon aksesin e sistemit operativ në disqe dhe i inicion ato, në varësi të kushteve të caktuara, kryen veprime shkatërruese ose shkakton efekte zanore ose video.

Të nderuar përdorues, materiali i këtij artikulli nuk mund të konsiderohet i plotë dhe shterues, pasi përparimi po ecën vazhdimisht përpara dhe, për fat të keq, teknologjitë për shkrimin e viruseve dhe malware gjithashtu po përmirësohen. Ky artikull është përpiluar për qëllime informative, për të rritur edukimin dhe ndërgjegjësimin e përdoruesve. Shpresoj (naivisht i pasaktë) që materiali i paraqitur të mos shtyjë askënd të shkruajë programe me qëllim të keq, por, përkundrazi, t'i bëjë ata të mendojnë. Mos harroni, ekziston një thënie e mençur: "Mos pështyj në pus, do të duhet të pish". Në rastin tonë, Interneti është një "pus" i madh informacioni, nga i cili marrim informacionin që ju dhe unë kemi nevojë. Është përgjegjësia jonë e drejtpërdrejtë ta mbajmë të pastër, sepse ne jemi pjesë përbërëse e tij (edhe pse indirekt, por megjithatë :).

Çfarë janë viruset

Virusështë një program i shkruar posaçërisht, me përmasa të vogla, një sekuencë kodesh instruksionesh që mund t'u "atribuojë" veten programeve të tjera ("i infektojë" ato), të krijojë kopje të vetvetes (jo gjithmonë të njëjta) dhe t'i ngulitë në skedarë, zona të sistemit të kompjuterin etj etj., si dhe kryejnë veprime të ndryshme të padëshiruara në kompjuter.

Viruset kompjuterike ia detyrojnë emrin e tyre një ngjashmërie të caktuar me viruset natyrore: aftësia për të vetë-infektuar; shpejtësi e lartë e përhapjes; selektiviteti i sistemeve të prekura (çdo virus infekton vetëm sisteme të caktuara ose grupe sistemesh homogjene); aftësia për të "infektuar" sisteme ende të pa infektuara; vështirësi në luftimin e viruseve etj.

Klasifikimi i viruseve kompjuterike

Viruset mund të klasifikohen në mënyrë konvencionale sipas kritereve të mëposhtme:
* sipas habitatit të virusit
* me metodën e kontaminimit të habitatit
* nga mundësitë shkatërruese
* nga veçoritë e algoritmit të virusit
* sipas llojit të veprimeve shkatërruese

Viruset e nisjes infektojnë sektorin e nisjes së disketës dhe sektorin e nisjes ose Master Boot Record (MBR) të hard diskut. Parimi i funksionimit të viruseve të nisjes bazohet në algoritmet për fillimin e sistemit operativ kur kompjuteri ndizet ose rindizet.

Për ta bërë më të qartë, unë do të shpjegoj në detaje se si fillon kompjuteri: pasi të ndizni PC-në në rrjet, furnizimi me energji dërgon sinjalin POWER_ON në motherboard, i cili nga ana tjetër kontrollon tensionin në qarkun e energjisë, nëse është i saktë. , pastaj kompjuteri ndizet. Më tej, programi në BIOS (Sistemi Basic Input Output) i kartës video merr kontrollin, teston përbërësit e kartës video dhe, pas marrjes së të dhënave pozitive, transferon kontrollin në BIOS të motherboard. Nis procedurën POST (Power-On Self Test), e cila kryen një vetë-testim të të gjithë komponentëve të sistemit, nëse testimi është i suksesshëm dhe të gjitha pajisjet e gjetura kthejnë sinjale pozitive, BIOS në përputhje me të dhënat në seksionin Boot dhe kontrollin e transferimeve në pajisjen që është në këtë listë së pari. Kontrolli transferohet duke kërkuar për sektorin e parë fizik, duke e lexuar atë dhe duke nisur ngarkuesin.

Në rastin e një diskete ose një CD-ROM, sektori i nisjes merr kontrollin, i cili analizon tabelën e parametrave të diskut (BPB - BIOS Parameter Block), llogarit adresat e skedarëve të sistemit të sistemit operativ, i lexon ato në memorie dhe i lëshon ato. për ekzekutim. Nëse skedarët e sistemit operativ mungojnë në diskun e nisjes, programi i vendosur në sektorin e nisjes së diskut shfaq një mesazh gabimi dhe ofron të zëvendësojë diskun e nisjes.

Në rastin e një hard drive, ngarkuesi i lartpërmendur merr kontrollin, i cili analizon tabelën e ndarjes së diskut, llogarit adresën e sektorit aktiv të nisjes (zakonisht ky sektor është sektori i nisjes së C :), e ngarkon atë në memorie dhe e transferon atë në kontroll. Pasi të ketë marrë kontrollin, sektori aktiv i nisjes së hard drive kryen të njëjtat veprime si sektori i nisjes së një diskete. Më tej, gjithçka është më e thjeshtë, ngarkuesi i sistemit operativ ndodhet në skedarët e sistemit, gjë që ngarkon më tej OS.

Kur infektojnë disqe, viruset e nisjes "zëvendësojnë" kodin e tyre për çdo program që merr kontrollin në fillimin e sistemit. Kështu, parimi i infeksionit është i njëjtë në të gjitha metodat e përshkruara më sipër: virusi "detyron" sistemin ta lexojë atë në memorie kur riniset dhe t'i japë kontrollin jo kodit origjinal të ngarkuesit, por kodit të virusit.

Disqet infektohen në të vetmen mënyrë të njohur - virusi shkruan kodin e tij në vend të kodit origjinal të sektorit të nisjes së disketës. Hard disku infektohet në tre mënyra të mundshme - virusi shkruan vetë ose në vend të kodit MBR, ose në vend të kodit të sektorit të nisjes së diskut (zakonisht C :), ose modifikon adresën e sektorit aktiv të nisjes në Disk. Tabela e ndarjes e vendosur në MBR të hard diskut.

Kur infekton një disk, virusi në shumicën e rasteve transferon sektorin origjinal të nisjes (ose MBR) në një sektor tjetër të diskut (për shembull, në sektorin e parë të lirë). Nëse gjatësia e virusit është më e madhe se gjatësia e sektorit, atëherë pjesa e parë e virusit vendoset në sektorin e infektuar, pjesët e mbetura vendosen në sektorë të tjerë (për shembull, në sektorët e parë të lirë).

Ka disa opsione për vendosjen e sektorit fillestar të nisjes në disk dhe vazhdimin e virusit: në sektorë të grupimeve të lira të një disku logjik, në sektorë të sistemit të papërdorur ose të përdorur rrallë, në sektorë të vendosur jashtë diskut.

Nëse vazhdimi i virusit ndodhet në sektorë që i përkasin grupeve të diskut të lirë (kur kërkon këta sektorë, virusi duhet të analizojë tabelën e ndarjes së skedarëve - FAT), atëherë, si rregull, virusi i shënon këto grupime në FAT (Fail Tabela e shpërndarjes) si grupime të këqija (të ashtuquajturat grupime pseudo të këqija).

Gjithashtu, viruset e vendosin sektorin fillestar të nisjes në një sektor të papërdorur ose të përdorur rrallë - në një nga sektorët e hard drive (nëse ka) i vendosur midis MBR dhe sektorit të parë të nisjes, dhe në një disketë një sektor i tillë zgjidhet nga sektorët e fundit të direktoriumit rrënjë.

Disa viruse e shkruajnë kodin e tyre në sektorët e fundit të diskut, pasi këta sektorë përdoren vetëm kur hard disku është i mbushur plotësisht me informacion. Më pak e përdorur është metoda e mbajtjes së virusit jashtë diskut. Kjo arrihet në dy mënyra. E para zbret në zvogëlimin e madhësisë së disqeve logjike: virusi heq vlerat e nevojshme nga fushat përkatëse të sektorit të nisjes BPB dhe Tabela e ndarjes së diskut të diskut (nëse hard disku infektohet), duke reduktuar kështu madhësia e diskut logjik dhe shkruan kodin e tij në sektorët "të shkëputur" prej tij.

Mënyra e dytë është të shkruani të dhëna jashtë ndarjes fizike të diskut. Në rastin e disketave, virusi duhet të formatojë një pjesë shtesë në disk (metodë jo standarde e formatimit). Ka viruse që shkruajnë kodin e tyre jashtë hapësirës së aksesueshme të diskut, nëse, natyrisht, kjo lejohet nga pajisja e instaluar.

Sigurisht, ka metoda të tjera për vendosjen e një virusi në disk, për shembull, disa viruse përmbajnë një ngarkues standard MBR në trupat e tyre dhe, kur infektohen, mbishkruajnë MBR-në origjinale pa e ruajtur atë.

Kur infektohen, shumica e viruseve kopjojnë informacionin e sistemit të ruajtur në ngarkuesin fillestar në kodin e ngarkuesit të tyre (për MBR ky informacion është Tabela e Ndarjes së Diskut, për sektorin Boot të disketave - Blloku i Parametrave BIOS). Përndryshe, sistemi nuk do të jetë në gjendje të niset vetë, pasi adresat e diskut të përbërësve të sistemit llogariten në bazë të këtij informacioni.

Sidoqoftë, disa viruse të fshehta nuk e ruajnë këtë informacion, ose edhe më shumë - ata qëllimisht e kodojnë atë. Kur sistemi ose programet e tjera hyjnë në sektorë të infektuar, virusi zëvendëson origjinalet e tyre të painfektuara dhe sistemi niset pa ndonjë dështim.

Duhet gjithashtu të theksohet se viruset e nisjes shumë rrallë "bashkohen" së bashku në të njëjtin disk - ata shpesh përdorin të njëjtin sektorë të diskut për të vendosur kodin / të dhënat e tyre. Si rezultat, kodi / të dhënat e virusit të parë rezulton të jenë të dëmtuara kur ai infektohet me virusin e dytë, dhe sistemi ose ngrin gjatë nisjes ose qarkullon.

Algoritmi i virusit të nisjes

Pothuajse të gjithë viruset e nisjes janë rezidente të memories. Ato futen në memorien e kompjuterit kur nisen nga një disk i infektuar. Në këtë rast, ngarkuesi i nisjes lexon përmbajtjen e sektorit të parë të diskut nga i cili është bërë boot, vendos informacionin e lexuar në memorie dhe transferon kontrollin tek ai (d.m.th., te virusi). Pas kësaj, udhëzimet e virusit fillojnë të ekzekutohen, të cilat:
1. Si rregull, zvogëlon sasinë e memories së lirë (fjala në 0040: 0013), kopjon kodin e saj në hapësirën e liruar dhe lexon vazhdimin e saj nga disku (nëse ka). Më vonë, disa viruse "presin" që OS të fillojë dhe të rivendosë këtë fjalë në kuptimin e saj origjinal. Si rezultat, ato nuk janë të vendosura jashtë sistemit operativ, por si blloqe të veçanta të memories së sistemit operativ.
2. përgjon vektorët e nevojshëm të ndërprerjes (zakonisht INT 13h), lexon sektorin origjinal të nisjes në memorie dhe transferon kontrollin në të.

Në të ardhmen, virusi i nisjes sillet në të njëjtën mënyrë si një virus i skedarëve rezidentë të memories: përgjon aksesin e sistemit operativ në disqe dhe i infekton ato, në varësi të kushteve të caktuara, kryen veprime shkatërruese ose shkakton efekte zanore ose video.

Ka viruse të nisjes që nuk janë rezidentë të memories - gjatë nisjes, ata infektojnë MBR-në e diskut të ngurtë dhe disketave, nëse janë të pranishme në disqe. Pastaj viruse të tillë transferojnë kontrollin në ngarkuesin origjinal dhe nuk ndikojnë më në funksionimin e kompjuterit.

Viruset e skedarëve

Ky grup përfshin viruse që, kur shumohen në një mënyrë ose në një tjetër, përdorin sistemin e skedarëve të një OS.

Injektimi i një virusi skedar është i mundur pothuajse në të gjithë skedarët e ekzekutueshëm të të gjitha sistemeve operative të njohura, si dhe në bibliotekat dinamike dhe virtuale të drejtuesve (dll, VxD) dhe shumë skedarë të tjerë.

Ka viruse që infektojnë skedarë që përmbajnë kodin burimor të programeve, moduleve të bibliotekës ose objekteve. Është e mundur të shkruani një virus në skedarët e të dhënave, por kjo ndodh ose si rezultat i një gabimi të virusit, ose kur manifestohen vetitë e tij agresive. Makroviruset gjithashtu shkruajnë kodin e tyre në skedarët e të dhënave - dokumente ose fletëllogaritëse - por këta viruse janë aq specifikë saqë klasifikohen si një grup i veçantë.

Kjo metodë e infeksionit është më e thjeshta: virusi shkruan kodin e tij në vend të kodit të skedarit të infektuar, duke shkatërruar përmbajtjen e tij. Natyrisht, skedari ndalon së punuari dhe nuk mund të rikthehet. Viruse të tilla e zbulojnë veten shumë shpejt, pasi sistemi operativ dhe aplikacionet ndalojnë së punuari mjaft shpejt.

Injektimi i virusit në fillim të skedarit

Injektimi i një virusi në fillim të një skedari përdoret në shumicën dërrmuese të rasteve kur infektohen skedarët DOS "BAT dhe COM. Ka disa viruse që shkruajnë vetë në fillim të skedarëve EXE të sistemeve operative DOS, Windows dhe madje Linux. Në të njëjtën kohë, viruset përdoren për të mbajtur programin në punë. , ose dezinfektoni skedarin e infektuar, rinisni atë, prisni që të përfundojë dhe shkruani përsëri në fillimin e tij (ndonjëherë për këtë përdoret një skedar i përkohshëm, në të cilin skedari i neutralizuar është shkruar), ose ata rivendosin kodin e programit në kujtesën e kompjuterit dhe konfigurojnë adresat e nevojshme në trupin e tij (d.m.th. kopjojnë punën e OS).

Injektimi i virusit në fund të skedarit

Mënyra më e zakonshme për të futur një virus në një skedar është duke e bashkuar virusin në fund të skedarit. Në këtë rast, virusi ndryshon fillimin e skedarit në atë mënyrë që komandat e para të ekzekutuara të programit që përmban skedari janë komandat e virusit.

Në një skedar DOS COM, në shumicën e rasteve kjo arrihet duke ndryshuar tre (ose më shumë) bajt të tij të parë në kodet e udhëzimeve JMP Loc_Virus (ose, në përgjithësi, në kodet e programit që transferon kontrollin në trupin e virusit).

Viruset që depërtojnë skedarët SYS bashkojnë kodet e tyre në trupin e skedarit dhe modifikojnë adresat e programeve Strategy dhe Interrupt të drejtuesit të infektuar. Kur një drejtues i infektuar inicializohet, virusi kap kërkesën përkatëse nga sistemi operativ, e transferon atë te drejtuesi, pret një përgjigje ndaj kësaj kërkese, e korrigjon atë dhe mbetet me drejtuesin në një bllok RAM. Një virus i tillë mund të jetë jashtëzakonisht i rrezikshëm dhe këmbëngulës, pasi futet në RAM kur OS fillon para çdo programi antivirus, nëse, natyrisht, nuk është as drejtues.

Ekzistojnë gjithashtu viruse që infektojnë drejtuesit e sistemit në një mënyrë tjetër: virusi modifikon kokën e tij në mënyrë që OS ta trajtojë skedarin e infektuar si një zinxhir prej dy (ose më shumë) drejtuesish.

Në mënyrë të ngjashme, një virus mund të shkruajë kodet e tij në fillim të drejtuesit, dhe nëse skedari përmban disa drejtues, atëherë në mes të skedarit.

Injektimi i virusit në mes të skedarit

Ka disa mënyra për të futur një virus në mes të një skedari. Në më të thjeshtat prej tyre, virusi zhvendos një pjesë të skedarit në fund ose "zgjeron" skedarin dhe shkruan kodin e tij në hapësirën e liruar. Kjo metodë është në shumë mënyra e ngjashme me metodat e listuara më sipër. Në të njëjtën kohë, disa viruse kompresojnë bllokun e skedarit portativ në mënyrë që gjatësia e skedarit të mos ndryshojë gjatë infektimit.

E dyta është metoda e "zgavrës", në të cilën virusi shkruhet në zona të papërdorura qëllimisht të skedarit. Virusi mund të kopjohet në zonat e papërdorura të tabelës së konfigurimit të adresave DOS EXE ose në kokën NewEXE, në zonën e stivës së skedarit COMMAND.COM ("Lehigh"), ose në zonën e mesazheve me tekst të përpiluesve të njohur ( "NMSG"). Ka viruse që infektojnë vetëm ato skedarë që përmbajnë blloqe të mbushura me ndonjë bajt konstant, ndërsa virusi shkruan kodin e tij në vend të një blloku të tillë.

Viruset pa pikë hyrjeje

Më vete, duhet të theksohet një grup mjaft i parëndësishëm i viruseve që nuk kanë një "pikë hyrëse" (viruset EPO - Viruset që errësojnë pikën hyrëse). Këto përfshijnë viruse që nuk shkruajnë komandat e transferimit të kontrollit në kokën e skedarëve COM (JMP) dhe nuk ndryshojnë adresën e pikës së fillimit në kokën e skedarëve EXE. Viruse të tillë shkruajnë një komandë për të kaluar te kodi i tyre diku në mes të skedarit dhe për të fituar kontrollin jo drejtpërdrejt kur hapet skedari i infektuar, por kur thirret një procedurë që përmban kodin për transferimin e kontrollit në trupin e virusit. Për më tepër, kjo procedurë mund të kryhet jashtëzakonisht rrallë (për shembull, kur shfaqet një mesazh për ndonjë gabim specifik). Si rezultat, virusi mund të "flejë" brenda një skedari për shumë vite dhe mund të lëshohet vetëm në kushte të caktuara të kufizuara.

Para se të shkruani një komandë për të kaluar te kodi i tij në mes të skedarit, virusi duhet të zgjedhë adresën "e saktë" në skedar - përndryshe skedari i infektuar mund të jetë i dëmtuar. Ka disa mënyra të njohura që viruset zbulojnë adresa të tilla brenda skedarëve.

Mënyra e parë- kërkoni skedarin për një sekuencë të kodit standard C / Pascal. Këta viruse kërkojnë titujt e procedurës standarde C / Pascal në skedarët e infektuar dhe në vend të tyre shkruajnë kodin e tyre.

Mënyra e dytë- gjurmimi ose çmontimi i kodit të skedarit. Viruse të tilla ngarkojnë një skedar në memorie, më pas e gjurmojnë ose e çmontojnë atë dhe, në varësi të kushteve të ndryshme, zgjedhin një komandë (ose komanda), në vend të së cilës shkruhet një kod për kalimin në trupin e virusit.

Mënyra e tretë përdoret vetëm nga viruset rezidentë të memories - kur një skedar lëshohet, ata monitorojnë një ndërprerje (zakonisht INT 21h). Sapo skedari i infektuar shkakton këtë ndërprerje, virusi shkruan kodin e tij në vend të komandës së thirrjes së ndërprerjes.

Companion - viruset

Kategoria "shoqërues" përfshin viruse që nuk modifikojnë skedarët e infektuar. Algoritmi i funksionimit të këtyre viruseve është që të krijohet një skedar i dyfishtë për skedarin e infektuar dhe kur të lëshohet skedari i infektuar, kontrollohet ky dyfish, d.m.th. virus.

Viruset shoqëruese më të zakonshme që përdorin veçorinë DOS për të ekzekutuar të parët një skedar .COM nëse ka dy skedarë në të njëjtën drejtori me të njëjtin emër, por me shtesa të ndryshme emrash - .COM dhe .EXE. Këta viruse krijojnë skedarë shoqërues për skedarët EXE që kanë të njëjtin emër, por me shtesën .COM, për shembull, krijohet një skedar XCOPY.COM për skedarin XCOPY.EXE. Virusi shkruan vetë në një skedar COM dhe nuk e modifikon skedarin EXE në asnjë mënyrë. Kur ekzekutoni një skedar të tillë, DOS do të jetë i pari që do të zbulojë dhe ekzekutojë skedarin COM, d.m.th. një virus që më pas do të nisë edhe skedarin EXE. Disa viruse përdorin jo vetëm variantin COM-EXE, por edhe BAT-COM-EXE.

Grupi i dytë përbëhet nga viruse që, pas infektimit, riemërtojnë një skedar në një emër tjetër, e mbajnë mend atë (për lëshimin e mëvonshëm të skedarit pritës) dhe shkruajnë kodin e tyre në disk nën emrin e skedarit që infektohet. Për shembull, skedari XCOPY.EXE riemërtohet në XCOPY.EXD dhe virusi shkruhet si XCOPY.EXE. Në nisje, kontrolli merr kodin e virusit, i cili më pas ekzekuton XCOPY origjinal të ruajtur nën emrin XCOPY.EXD. Një fakt interesant është se kjo metodë funksionon, me siguri, në të gjitha sistemet operative - viruset e këtij lloji u gjetën jo vetëm në DOS, por në Windows dhe OS / 2.

Grupi i tretë përfshin të ashtuquajturat viruse "Path-companion" që "luajnë" në veçoritë DOS PATH. Ata ose e shkruajnë kodin e tyre nën emrin e skedarit që do të infektohet, por "më i lartë" një nivel në PATH (kështu, DOS do të jetë i pari që do të zbulojë dhe ekzekutojë skedarin e virusit), ose do ta zhvendosin skedarin e viktimës një nëndrejtori më lart, dhe kështu me radhë.

Krimbat e skedarëve

Krimbat e skedarëve janë, në një farë kuptimi, një lloj shoqëruesi - viruse, por në asnjë mënyrë nuk e lidhin praninë e tyre me ndonjë skedar të ekzekutueshëm. Kur përsëriten, ata thjesht kopjojnë kodin e tyre në disa direktori disku me shpresën se këto kopje të reja do të lansohen ndonjëherë nga përdoruesi. Ndonjëherë këta viruse u japin kopjeve të tyre emra "të veçantë" në mënyrë që të shtyjnë përdoruesin të lëshojë kopjen e tyre - për shembull, INSTALL.EXE ose WINSTART.BAT.

Ka viruse krimbash që shkruajnë kopjet e tyre në arkiva (ARJ, ZIP, RAR dhe të tjerë). Këto viruse përfshijnë "ArjVirus" dhe "Winstart". Disa viruse shkruajnë komandën për të nisur një skedar të infektuar në skedarët BAT.

Krimbat e skedarëve nuk duhet të ngatërrohen me krimbat e rrjetit. Të parët përdorin vetëm funksionet e skedarëve të një sistemi operativ, ndërsa të dytët përdorin protokollet e rrjetit kur përhapen.

Lidhni viruset

Viruset e lidhjes, si viruset shoqëruese, nuk ndryshojnë përmbajtjen fizike të skedarëve, por kur lëshohet një skedar i infektuar, ata "detyrojnë" OS të ekzekutojë kodin e tij. Ata e arrijnë këtë qëllim duke modifikuar fushat e nevojshme të sistemit të skedarëve.

Deri më sot, vetëm një lloj i viruseve Link është i njohur - viruset e familjes "Dir_II". Kur infektojnë sistemin, ata shkruajnë trupin e tyre në grupin e fundit të diskut logjik. Kur infektojnë një skedar, viruset korrigjojnë vetëm numrin e grupit të parë të skedarit që ndodhet në sektorin përkatës të drejtorisë. Grupimi i ri fillestar i skedarit do të tregojë grupin që përmban trupin e virusit. Kështu, kur skedarët infektohen, gjatësia e tyre dhe përmbajtja e grupeve të diskut që përmbajnë këta skedarë nuk do të ndryshojnë, dhe të gjithë skedarët e infektuar në një disk logjik do të kenë vetëm një kopje të virusit.

Pas infektimit, të dhënat e drejtorisë tregojnë për një virus, d.m.th. kur një skedar ekzekutohet, nuk janë skedarët që marrin kontrollin, por virusi.

OBJ-, LIB-viruset dhe viruset në tekstet burimore

Viruset që infektojnë bibliotekat e përpiluesve, modulet e objekteve dhe kodet burimore të programeve janë mjaft ekzotikë dhe praktikisht të pazakonshëm. Janë rreth një duzinë prej tyre në total. Viruset që infektojnë skedarët OBJ dhe LIB ua shkruajnë kodin e tyre në formatin e një moduli objekti ose biblioteke. Kështu, skedari i infektuar nuk është i ekzekutueshëm dhe nuk është në gjendje të përhapë më tej virusin në gjendjen e tij aktuale. Bartësi i një virusi "live" është një skedar COM ose EXE i marrë në procesin e lidhjes së një skedari OBJ / LIB të infektuar me module dhe biblioteka të tjera objektesh. Kështu, virusi përhapet në dy faza: në fazën e parë, skedarët OBJ / LIB infektohen, në fazën e dytë (lidhja), fitohet një virus i zbatueshëm.

Infeksioni i kodeve burimore të programeve është një vazhdim logjik i metodës së mëparshme të riprodhimit. Në këtë rast, virusi shton kodin e tij burim në kodin burimor (në këtë rast, virusi duhet ta përmbajë atë në trupin e tij) ose heks depon e tij (që është teknikisht më e lehtë). Një skedar i infektuar është në gjendje të përhapë më tej virusin vetëm pas përpilimit dhe lidhjes.

Algoritmi i një virusi skedar

Metoda e rikthimit të programit në formën e tij origjinale varet nga mënyra se si skedari është infektuar. Nëse një virus depërton në fillimin e një skedari, ai ose i zhvendos kodet e programit të infektuar me një numër bajtësh të barabartë me gjatësinë e virusit, ose zhvendos një pjesë të kodit të programit nga fundi në fillim, ose rikthen skedar në disk dhe më pas e ekzekuton atë. Nëse një virus e ka shkruar veten deri në fund të skedarit, atëherë kur rikthen programin, ai përdor informacionin e ruajtur në trupin e tij kur skedari ishte infektuar. Kjo mund të jetë gjatësia e skedarit, disa bajt të fillimit të skedarit në rastin e një skedari COM, ose disa bajtë të kokës në rastin e një skedari EXE. Nëse virusi shkruan veten në mes të skedarit në një mënyrë të veçantë, atëherë kur rivendos skedarin ai përdor gjithashtu algoritme speciale.

Injektimi i virusit në skedarët DOS COM dhe EXE

Binarët e ekzekutueshëm COM ose EXE që ndryshojnë në kokë dhe në mënyrën se si ekzekutohen programet. Zgjatja e emrit të skedarit ("* .COM" ose "* .EXE") nuk korrespondon gjithmonë me formatin aktual të skedarit, i cili, megjithatë, nuk ndikon në funksionimin e programit në asnjë mënyrë. Skedarët COM dhe EXE infektohen në mënyra të ndryshme, prandaj, virusi duhet të dallojë skedarët e një formati nga një tjetër. Viruset e zgjidhin këtë problem në dy mënyra: disa analizojnë shtesën e emrit të skedarit ("* .COM", "* .EXE"), të tjerët - kokën e skedarit. Metoda e parë do të referohet më poshtë si infektimi i skedarëve * .COM- (ose * .EXE-), e dyta - infektimi i skedarëve COM- (ose EXE-).

Në shumicën e rasteve, virusi infekton skedarin në mënyrë korrekte, d.m.th. Nga informacioni që përmban trupi i virusit, është e mundur të rikuperoni plotësisht skedarin e infektuar. Por viruset, si shumica e programeve, shpesh përmbajnë gabime që janë të padukshme në shikim të parë. Për shkak të kësaj, edhe një virus i shkruar plotësisht saktë mund të dëmtojë në mënyrë të pakthyeshme një skedar kur ai është i infektuar. Për shembull, viruset që dallojnë llojet e skedarëve sipas shtrirjes së emrit (* .COM, * .EXE) janë shumë të rrezikshëm sepse prishin skedarët, zgjerimi i emrit të të cilëve nuk korrespondon me formatin e brendshëm.

Një nga shembujt më të zakonshëm të infektimit të skedarëve të pasaktë është COMMAND.COM nga Windows95. Ky skedar, në fakt, është një skedar EXE, për më tepër, është me madhësi mbi 90K, gjë që është e pamundur për një skedar COM. Prandaj, viruset që dallojnë skedarët COM / EXE sipas shtrirjes së emrit dhe nuk kontrollojnë gjatësinë e skedarëve COM të infektuar (për shembull, "Junkie") prishin një COMMAND.COM të tillë dhe ai bëhet jofunksional.

maskim primitiv

Kur një skedar është i infektuar, virusi mund të kryejë një sërë veprimesh që maskojnë dhe përshpejtojnë përhapjen e tij. Veprime të tilla përfshijnë përpunimin e atributit vetëm për lexim, heqjen e tij përpara infektimit dhe rivendosjen pas. Shumë viruse të skedarëve lexojnë datën e modifikimit të fundit të skedarit dhe e rivendosin atë pas infektimit. Për të fshehur përhapjen e tyre, disa viruse kapin një ndërprerje të OS që ndodh kur hyni në një disk të mbrojtur nga shkrimi (INT 24h) dhe e përpunojnë atë vetë.

Shpejtësia e përhapjes

Duke folur për viruset e skedarëve, është e nevojshme të theksohet një veçori e tyre si shpejtësia e përhapjes së tyre. Sa më shpejt të përhapet një virus, aq më shumë ka të ngjarë që të ndodhë një shpërthim i atij virusi. Sa më ngadalë të përhapet një virus, aq më e vështirë është ta zbuloni atë (përveç nëse, sigurisht, ky virus është ende i panjohur për programet antivirus). Konceptet e virusit "të shpejtë" dhe "të ngadalshëm" (Infektues i shpejtë, infektues i ngadalshëm) janë mjaft relative dhe përdoren vetëm si një karakteristikë e virusit në përshkrimin e tij.

Viruset jo-rezidentë të kujtesës janë shpesh "të ngadaltë" - shumica e tyre, kur lansohen, infektojnë një ose dy ose tre skedarë dhe nuk kanë kohë të vërshojnë kompjuterin derisa të lansohet programi antivirus (ose një version i ri i antivirusit -Shfaqet virusi që është konfiguruar për një virus të caktuar). Ka, sigurisht, viruse "të shpejta" që nuk rezidentojnë memorie që kërkojnë dhe infektojnë të gjithë skedarët e ekzekutueshëm kur lëshohen, por viruse të tillë janë shumë të dukshëm: kur çdo skedar i infektuar hapet, kompjuteri punon në mënyrë aktive me hard diskun për disa ( ndonjëherë mjaft të gjatë) kohë, e cila demaskon virusin.

"Shpejtësia" e viruseve rezidente të memories është zakonisht më e lartë se viruset jo-rezidente të memories - ata infektojnë skedarët sa herë që aksesohen. Si rezultat, të gjithë ose pothuajse të gjithë skedarët që përdoren vazhdimisht në punë janë të infektuar në disk.

Shpejtësia e përhapjes së viruseve të skedarëve rezidentë që infektojnë skedarët vetëm kur ato lëshohen për ekzekutim do të jetë më e ulët se ajo e viruseve që infektojnë skedarët kur hapen, riemërohen, ndryshohen atributet e skedarëve, etj. Gjatë krijimit të një kopjeje në RAM-in e kompjuterit, shumë viruse përpiqen të zënë zonën e memories me adresat më të larta, duke shkatërruar pjesën e përkohshme të interpretuesit të komandës COMMAND.COM. Kur programi i infektuar përfundon, pjesa e përkohshme e përkthyesit rikthehet dhe skedari COMMAND.COM hapet dhe, nëse virusi infekton skedarët kur hapen, ai infektohet. Kështu, kur lëshohet një virus i tillë, skedari COMMAND.COM do të infektohet i pari.

Materialet dhe të dhënat janë marrë nga burimet:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info

• Për të postuar komente, ju lutemi identifikohuni ose regjistrohuni

Pas fillimit të një programi që përmban një virus, bëhet i mundur infektimi i skedarëve të tjerë. Virusi më i zakonshëm infekton sektorin e nisjes së diskut dhe skedarët e ekzekutueshëm me shtesat EXE, COM, SYS ose BAT. Është jashtëzakonisht e rrallë që skedarët tekst dhe grafikë të infektohen.

Një program i infektuar është një program që përmban një program virusi të ngulitur në të.

Shenjat e një virusi

Kur një kompjuter infektohet me një virus, është shumë e rëndësishme ta zbuloni atë në kohën e duhur. Për ta bërë këtë, duhet të dini për shenjat kryesore të manifestimit të viruseve. Këto përfshijnë sa vijon:

Ndërprerja e punës ose funksionimi i gabuar i programeve që kanë funksionuar më parë me sukses;

Performanca e ngadaltë e kompjuterit;

Pamundësia për të ngarkuar sistemin operativ;

Zhdukja e skedarëve dhe drejtorive ose shtrembërimi i përmbajtjes së tyre;

Ndryshimi i datës dhe orës së modifikimit të skedarit;

Ndryshimi i madhësisë së skedarëve;

Një rritje e papritur e konsiderueshme në numrin e skedarëve në disk;

Një ulje e konsiderueshme në madhësinë e RAM-it të lirë;

Shfaqja e mesazheve ose imazheve të padëshiruara në ekran;

Dorëzimi i sinjaleve zanore të padëshiruara;

Ngrirje dhe prishje të shpeshta të kompjuterit.

Duhet theksuar se dukuritë e mësipërme nuk shkaktohen domosdoshmërisht nga prania e një virusi, por mund të jenë për shkaqe të tjera. Prandaj, është gjithmonë e vështirë të diagnostikosh saktë gjendjen e kompjuterit.

Llojet kryesore të viruseve

Aktualisht njihen më shumë se 15,000 viruse softuerike, ato mund të klasifikohen sipas kritereve të mëposhtme (Fig.11.10):

Sipas habitatit;

Me metodën e infeksionit;

Nga shkalla e ndikimit;

Nga veçoritë e algoritmit.

Varet nga habitati viruset mund të ndahen

Në rrjet,

Dosja,

Çizme

File-bootable.

· Viruset e rrjetit përhapen në rrjete të ndryshme kompjuterike.

· Viruset e skedarëve futen kryesisht në module të ekzekutueshme, d.m.th. te skedarët me shtesat COM dhe EXE. Viruset e skedarëve mund të injektohen në lloje të tjera skedarësh, por, si rregull, të regjistruar në skedarë të tillë, ata kurrë nuk fitojnë kontroll dhe, për rrjedhojë, humbasin aftësinë e tyre për t'u riprodhuar.

· Viruset e nisjes futen në sektorin e nisjes së diskut (Sektori Boot) ose në sektorin që përmban programin e nisjes për diskun e sistemit (Master Boot Record).

· Viruset e nisjes së skedarëve infektojnë të dy skedarët dhe sektorët e nisjes së disqeve.

Me anë të infeksionit viruset ndahen në

Banor

Jo rezident.

· Një virus rezident i memories, kur infekton (infekton) një kompjuter, lë pjesën e tij rezidente në RAM, e cila më pas përgjon aksesin e sistemit operativ në objektet e infektimit (skedarët, sektorët e nisjes së disqeve, etj.) dhe injektohet në to. . Viruset rezidente qëndrojnë në memorie dhe mbeten aktive derisa kompjuteri të fiket ose të rindizet.

· Serverët jorezidentë nuk infektojnë memorien e kompjuterit dhe janë aktivë për një kohë të kufizuar.

Sipas shkallës së ndikimit, viruset mund të ndahen në llojet e mëposhtme:

jo të rrezikshme, mos ndërhyni në funksionimin e kompjuterit, por zvogëloni sasinë e RAM-it dhe kujtesës së lirë në disqe, veprimet e viruseve të tillë manifestohen në çdo efekt grafik ose zanor;

viruse të rrezikshme që mund të çojë në ndërprerje të ndryshme në funksionimin e kompjuterit;

shume e rrezikshme, ndikimi i të cilave mund të çojë në humbjen e programeve, shkatërrimin e të dhënave, fshirjen e informacionit në zonat e sistemit të diskut

Nga veçoritë e algoritmit viruset janë të vështira për t'u klasifikuar për shkak të shumëllojshmërisë së tyre të gjerë.

Mund të vihet re viruset replikator të quajtur krimba, të cilat përhapen në rrjetet kompjuterike, llogaritin adresat e kompjuterëve të rrjetit dhe shkruajnë kopje të tyre në këto adresa.

I njohur viruset e fshehta të quajtura viruse step, të cilat janë shumë të vështira për t'u zbuluar dhe neutralizuar, pasi ato përgjojnë thirrjet e sistemit operativ për skedarët dhe sektorët e diskut të infektuar dhe zëvendësojnë zonat e pa infektuara të diskut në vend të trupave të tyre.

Më e vështira për t'u gjetur viruset mutant që përmbajnë algoritme enkriptimi-deshifrimi, falë të cilave kopjet e të njëjtit virus nuk kanë një varg të vetëm bajt të përsëritur.

Ka edhe të ashtuquajturat kuazi-virus ose programe "Trojane"., të cilat, megjithëse nuk janë të afta për vetëpërhapje, janë shumë të rrezikshme, pasi, duke u maskuar si një program i dobishëm, shkatërrojnë sektorin e nisjes dhe sistemin e skedarëve të disqeve.

Programet e zbulimit dhe mbrojtjes së viruseve

Karakteristikat e programeve antivirus

Për të zbuluar, hequr dhe mbrojtur nga viruset kompjuterike, janë zhvilluar disa lloje të programeve speciale që ju lejojnë të zbuloni dhe shkatërroni viruset. Programe të tilla quhen programe antivirus.

Ekzistojnë llojet e mëposhtme të programeve antivirus:

· Programet-detektorë;

· Programet-mjekët ose fagët;

· Programet-auditorët;

· Programet e filtrimit;

· Programet e vaksinave ose imunizuesit.

Programet e detektorëve kërkoni për një sekuencë bajt (nënshkrimi të virusit) karakteristikë e një virusi të caktuar në RAM dhe në skedarë, dhe pas zbulimit, lëshoni një mesazh përkatës. Disavantazhi i programeve të tilla antivirus manifestohet është se ata mund të gjejnë vetëm viruse që janë të njohur për zhvilluesit e programeve të tilla.

Programet e doktorit ose fagët - projektuar për të kuruar disqet dhe programet e infektuara. Trajtimi i programit konsiston në heqjen e trupit të virusit nga programi i infektuar. Polifage është i aftë të shkatërrojë shumë viruse. Më të famshmit janë Aidstest, Norton AntiVirus dhe Doctor Web.

programet e auditorit: projektuar për të zbuluar infeksionin me virus të skedarëve, si dhe për të gjetur skedarë të dëmtuar. Këto programe mbajnë mend të dhënat për gjendjen e programit dhe zonat e sistemit të disqeve në gjendje normale (para infektimit) dhe i krahasojnë këto të dhëna ndërsa kompjuteri është në punë. Në rast të mospërputhjes së të dhënave, shfaqet një mesazh për mundësinë e infektimit;

programe filtri ose depo janë krijuar për të përgjuar thirrjet në sistemin operativ, të cilat përdoren nga viruset për t'u përhapur dhe për të informuar përdoruesin për këtë. Përdoruesi mund të aktivizojë ose çaktivizojë operacionin përkatës. Programe të tilla janë rezidente, domethënë janë të vendosura në RAM-in e kompjuterit.

programet e vaksinave: përdoren për të përpunuar skedarë dhe sektorë të nisjes për të parandaluar infektimin nga viruse të njohura (kohët e fundit kjo metodë është përdorur gjithnjë e më shpesh).

Vaksinat ose imunizuesit janë programe TSR që parandalojnë infektimin e skedarëve. Vaksinat përdoren nëse nuk ka programe mjekësh që e “kurojnë” këtë virus. Vaksinimi është i mundur vetëm kundër viruseve të njohura. Vaksina modifikon programin ose diskun në mënyrë të tillë që të mos ndikojë në punën e tyre, dhe virusi do t'i perceptojë ata si të infektuar dhe për këtë arsye nuk do të futet. Programet e vaksinave janë aktualisht me përdorim të kufizuar.

Duhet të theksohet se zgjedhja e një antivirusi "më të mirë" është një vendim jashtëzakonisht i gabuar. Rekomandohet të përdorni disa paketa të ndryshme antivirus në të njëjtën kohë. Kur zgjidhni një program antivirus, duhet t'i kushtoni vëmendje një parametri të tillë si numri i nënshkrimeve të njohjes (një sekuencë karakteresh që garantohen të njohin një virus). Parametri i dytë është prania e një analizuesi heuristik për viruse të panjohura, prania e tij është shumë e dobishme, por ngadalëson ndjeshëm kohën e funksionimit të programit. Sot ka një shumëllojshmëri të madhe të programeve anti-virus.

Një nga antivirusët më të mirë me një algoritëm të fuqishëm të zbulimit të viruseve. Polifag, i cili mund të skanojë skedarë në arkiva, dokumente Word dhe libra pune në Excel, zbulon viruse polimorfikë që kohët e fundit janë bërë më të përhapur. Mjafton të thuhet se epidemia e virusit shumë të rrezikshëm OneHalf u ndal nga DrWeb. Analizuesi heuristik DrWeb, duke ekzaminuar programet për praninë e fragmenteve të kodit tipike për viruset, ju lejon të gjeni pothuajse 90% të viruseve të panjohur. Kur ngarkoni një program, para së gjithash, DrWeb kontrollon veten për integritet, pas së cilës teston RAM-in. Programi mund të funksionojë në modalitetin e dialogut, ka një ndërfaqe të përshtatshme të personalizueshme të përdoruesit.

Auditori antivirus ADINF (Avanced DiskINFoscope) ju lejon të gjeni dhe shkatërroni viruset ekzistuese konvencionale, të fshehta dhe polimorfike, si dhe ato krejt të reja. Antivirusi ka në dispozicion një njësi shëruese të auditorit ADINF - Adinf Cure Module - i cili mund të neutralizojë deri në 97% të të gjithë viruseve. Kjo shifër është dhënë nga "Dialogue Science", bazuar në rezultatet e testimit, që u zhvillua në koleksionet e viruseve të dy autoriteteve të njohura në këtë fushë - D. N. Lozinsky dhe Dr. Solomon "s (Britania e Madhe).

ADINF ngarkohet automatikisht kur kompjuteri është i ndezur dhe monitoron sektorin e nisjes dhe skedarët në disk (data dhe ora e krijimit, gjatësia, shuma e kontrollit), duke shfaqur mesazhe në lidhje me ndryshimet e tyre. Për shkak të faktit se ADINF kryen operacione të diskut duke anashkaluar sistemin operativ, duke iu referuar funksioneve BIOS, arrihet jo vetëm aftësia për të zbuluar viruse aktive stealth, por edhe një shpejtësi e lartë e kontrollit të diskut. Nëse gjendet një virus boot, atëherë ADINF thjesht do të rivendosë sektorin e mëparshëm të nisjes që është ruajtur në tabelën e tij. Nëse virusi është një virus skedari, atëherë në ndihmë vjen blloku i kurimit të Adinf Cure Module, i cili, bazuar në raportin e modulit kryesor për skedarët e infektuar, krahason parametrat e skedarëve të rinj me ato të mëparshme të ruajtura në tabela të veçanta. Nëse zbulohen mospërputhje, ADINF rikthen gjendjen e mëparshme të skedarit, në vend që të shkatërrojë trupin e virusit, siç bëjnë polifagët.

Antivirus AVP (Programi AntiVirus) i referohet polifagëve, gjatë procesit ai kontrollon RAM-in, skedarët, përfshirë ato të arkivuara, në disqet disketë, lokale, rrjet dhe CD-ROM, si dhe strukturat e të dhënave të sistemit si sektori i nisjes, tabelën e ndarjes. etj etj. Programi ka një analizues heuristik, i cili, sipas zhvilluesve të antiviruseve, është në gjendje të gjejë pothuajse 80% të të gjithë viruseve. AVP është një aplikacion 32-bit për sistemet operative Windows 98, NT dhe 2000, ka një ndërfaqe miqësore për përdoruesit, si dhe një nga bazat më të mëdha të të dhënave antivirus në botë. Bazat e të dhënave antivirus për AVP përditësohen afërsisht një herë në javë dhe mund të merren nga Interneti. Ky program kërkon dhe heq një shumëllojshmëri të gjerë të viruseve, duke përfshirë:

• viruse polimorfike ose vetë-kriptuese;
• viruse të fshehta ose viruse të padukshme;
• viruse të reja për Windows;
• makro viruse që infektojnë dokumentet e Word-it dhe spreadsheets Excel.

Përveç kësaj, programi AVP monitoron operacionet e skedarëve në sistem në sfond, zbulon një virus përpara se të infektojë sistemin dhe gjithashtu zbulon viruse të panjohura duke përdorur një modul heuristik.