47004 (Вирусы), страница 5
Описание файла
Документ из архива "Вирусы", который расположен в категории "". Всё это находится в предмете "информатика" из , которые можно найти в файловом архиве . Не смотря на прямую связь этого архива с , его также можно найти и в других разделах. Архив можно найти в разделе "рефераты, доклады и презентации", в предмете "информатика, программирование" в общих файлах.
Онлайн просмотр документа "47004"
Текст 5 страницы из документа "47004"
Пользуясь этим несовершенством программы начальной загрузки, вирус ЗАРАЗА при заражении жестких дисков делает следующее:
• копирует содержимое файла IO.SYS в конец логического диска;
• сдвигает элементы корневого каталога, начиная с третьего, на один элемент к концу каталога;
• копирует первый элемент корневого каталога (соответствующий файлу IO.SYS) в) освободившийся третий элемент корневого каталога и устанавливает в нем номер начального кластера, указывающий на место, куда было скопировано содержимое файла IO.SYS;
• записывает свое тело в место, где находился файл IO.SYS (как правило, в начало области данных логического диска);
• у первого элемента корневого каталога диска устанавливает признак «метка тома».
Таким образом, начало оглавления корневого каталога после заражения будет выглядеть примерно так (при просмотре программой DiskEdit):
| Name | .Ext | Size | Date | Time | Cluster | Arc | R/0 | Sys | Hid | Dir | Vol | Sector | ... |
| I0 | SYS | 40744 | 31.05.94 | 6:22 | 2 | R/0 | Sys | Hid | Vol | ||||
| MSDOS | SYS | 38138 | 14.07.95 | 23:44 | 5 | R/0 | Sys | Hid | |||||
| I01 | SYS | 40744 | 31.05.94 | 6:22 | 63616 | R/0 | Sys | Hid | … |
Здесь в столбце «Cluster» у первого элемента стоит 2 — номер кластера диска, куда вирус записал свое тело (и где раньше располагался файл IO.SYS), а у третьего элемента в этом столбце указан номер того кластера, начиная с которого вирус поместил копию файла IO.SYS.
Иначе говоря, в корневом каталоге появляются два элемента с именем IO.SYS, один из которых помечен атрибутом «метка тома». Однако при начальной загрузке это не вызывает сбоев — программа начальной загрузки, проверив, что первые два элемента каталога имеют имена IO.SYS и MSDOS.SYS, загрузит кластер, указанный в первом элементе оглавления (на обычном диске — это начало файла IO.SYS, а на зараженном код вируса), и передаст ему управление. Вирус загрузит себя в оперативную память, после чего загрузит начало исходного файла IO.SYS и передаст ему управление. Далее начальная загрузка идет, как обычно.
А что же при обычной работе в DOS? Неужели в корневом каталоге не будут видны два элемента с именем IO.SYS? Оказывается, нет. DOS и все программы (кроме программы. начальной загрузки) будут считать первый элемент каталога, раз он помечен признаком «метка тома», описанием метки диска С:. А метки игнорируются при обработке файлов и каталогов, поэтому первый элемент с именем IO.SYS не будет виден при просмотре корневого каталога. Разве лишь метка тома для диска С:, выводимая при вводе команды VOL С:, станет «IO SYS» (некоторые программы будут показывать ее как IOSYS). Однако мало кто из пользователей обращает внимание на метки дисков!
Опасность вирусов семейства ЗАРАЗА состоит в следующем: даже если загрузить компьютер с «чистой» системной дискеты и ввести команду SYS С:, вирус не будет удален с диска! Команда SYS, как и остальные программы DOS, проигнорирует указывающий на вирус первый элемент корневого каталога, посчитав его описанием метки. Перезаписан будет лишь «файл-дублер» IO.SYS, описанный в третьем элементе корневого каталога. Причем если программа SYS запишет файл IO.SYS в новое место на диске, то система перестанет загружаться с жесткого диска, т.к., вирус в своем теле хранит адрес начального сектора исходного файла IO.SYS.
Поэтому обеззараживать диски, инфицированные вирусами семейства ЗАРАЗА, командой SYS не следует, это надо делать антивирусными программами. Напомним, то симптомом вируса семейства ЗАРАЗА является метка тома «IO SYS», то есть в ответ на команду DOS VOL С: выводится:
Volume in drive С is I0 SYS
Volume Serial Number is , . .
В крайнем случае, можно использовать следующий прием: с помощью программы DiskEdit снять у первых трех элементов (первый и третий — с именами IO.SYS, второй — с именем MSDOS.SYS) корневого каталога диска С: на жестком диске атрибуты «скрытый», «системный», «только для чтения» и «метка тома», переименовав при этим один из элементов с именем IO.SYS, например, в I01.SYS:
| Name | .Ext | Size | Date | Time | Cluster | Arc | R/0 | Sys | Hid | Dir | Vol | Sector | ... |
| I0 | SYS | 40744 | 31.05.94 | 6:22 | 2 | ||||||||
| MSDOS | SYS | 38138 | 14.07.95 | 23:44 | 5 | ||||||||
| I01 | SYS | 40744 | 31.05.94 | 6:22 | 63616 |
После этого файлы IO.SYS, IO1.SYS и MSDOS.SYS можно удалить командой Del. Теперь команда SYS С: сможет записать на диск С: чистые системные файлы.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
-
Профессиональная работа в MS-DOS, Р.Данкан, Мир, 1993.
-
Microsoft Systems Journal, Sept 1989. Получен из Computer Library Periodicals, Jan 1990, Doc #14753.
-
В.Мельников. «Защита информации в компьютерных системах». Москва. «Финансы и статистика». «Электроинформ». 1997.
-
«Руководство администратора безопасности системы «Secret Net NT». Информзащита.
-
С.Штайнке. «Идентификация и криптография». LAN\Журнал сетевых решений. 1998. №2.
-
В.Жельников. «Криптография от папируса до компьютера». ABF. Москва. 1997.
-
Г.Дейтел. “Введение в операционные системы”. Т.2. Москва. Мир. 1987.
-
П.Дайсон. “Овладеваем пакетом Norton Utilities 6”. Москва. Мир. 1993.
