Boot вирусы

[b1t]

Здарова. Вот я читаю книгу, и там мне очень поразило статья про boot-вирусов... Блин, уменя давно, когда я научился на компьютере, тогда перехватил вирус, который по слоивам "экспертам" был бут-вирусом, он испортил master boot record сектор.. Вроде "перепрошивали", но через нокоторое времья сдох контроллер (про контроллера я рассказал ЗДЕСЬ). А теперь я думаю, что все из за вируса был..

Уменя теперь такой вопрос: вообше как "лечить" такие сектора? а как насчет памяти, если они остаются в памяти.. :sorry:

 

[Great]

Уменя теперь такой вопрос: вообше как "лечить" такие сектора?

перезаписью :P
если стоит лило с линуксом, то вытереть mbr командой dd и перезаписать лило командой lilo.
если винда - то fdisk /fixmbr кажется.

а как насчет памяти, если они остаются в памяти.. sorry.gif

оператичка при холодном рестарте сбрасывается
или ты про какую память?

 

[b1t]

>. млин.. как это..? разве после fdisk_a перезаписывается загружечный сектор??? Я никогда такого не слыхал..
А насчет памяти, память процессора, ОЗУ (иногда может и в ПЗУ быть..)

 

[b1t]

Да)
Кста в ХР нет fdisk, для XP а можно под консолью .

А эти fixboot и fixmbr - эти команды, или программы?

 

[Great]

E:\Documents and Settings\Administrator>dir /B E:\Windows\System32 | grep fix
File STDIN:
fixmapi.exe
loadfix.com

значит, команды :P

 

[hawk2000]

fixboot и fixmbr могут запороть весь винт, если на нем есть ошібки или вирусы. По крайней мере так написано в факе для них...

 

[Dude03]

Коваль И. "Как написать компьютерный вирус"

Не эту ли читаешь?

 

[b1t]

А если так форматировать винч, (т.е. форматировать весь загружечный сектор), потом как прошивать опять? ..
б..блин, как то НЕ ясно... :sorry:

 

[Great]

А если так форматировать винч,

зачем

(т.е. форматировать весь загружечный сектор),

как ты собрался форматировать ОДИН СЕКТОР винта?

потом как прошивать опять? ..

что делать с винтом?

мне тоже ничего не понятно из твоей фразы)

 

[b1t]

Great, Я Не русский, и мне немного трудно обяснить что я имею ввиду..

Я срвашиваю - если форматировать ТАк(fdick), то по вашим словам будет и "очишен" от вут -вируса бут-сектор.. а потом как постановить бут-сектор?

 

[Great]

b1t
Форматирование - процесс преобразования жесткого диска к состоянию, пригодному для использования. Заключается в разметке диска и создании файловой системы. Быстрое форматирование - только очистка оглавления диска.
Полное - очистка всех секторов диска (запись байтов FE, если мне не изменяет память )
Форматировать можно весь жиск целиком.

Ты скорее всего имел в виду очистку сектора

 

[b1t]

:sorry: Серавно непонял...

Вот как понять

Полное - очистка всех секторов диска (запись байтов FE

??
Вы до сих пор не сказали про boot секторах... какая там структура??
Как он "выглядет" после форматировки или очистки, как это происходит..
Вообшум, подробно про boot секторах и boot-вирусах..

 

[parovoz]

при форматировании диска вся инфа из бут секторов будет удалена..в т.ч. и вся зараза...востановить их можна переустановив операционку...насколько я знаю у антивирей есть опция проверки бут секторов потому вирус твой запалится...

 

[resourser]

Если я правильно соображаю в колбасных образках, что если фирусняк сидит в бут-секторе, то достаточно загрузиться под Досом и выполнить

fdisk /mbr

При выполнении этой команды загрузочный сектор сбрасывается в исходное состояние, тоесть ставится дефолтовый виндовый загрузчик.
Ничего после этой команды ты не потеряешь из данных. Кстати, винда тоже будет загружаться после этого

 

[falk]

Virus.Boot-DOS.Invader
Опасная резидентная программа. Представляет собой TSR-вирус, заражающий exe- и com-файлы. Совмещает в себе функции файлового вируса и boot-вируса. Написана на языке ассемблера.
Проявление в системе

* Замедление работы компьютера либо его периодическое «подвисание»;

* проигрывание через динамик системного блока последовательностей звуков;

* несанкционированное пользователем обращение к дисководу

* выдача на экран для ранее работавших дискет следующего сообщения:


Non-system disk or disk error»
Также к симптомам заражения можно отнести увеличение размеров исполняемых файлов на 4096 байт.

Деструктивная активность
Распространение
Вирус распространяется, используя два различных пути инфицирования, — как файловый вирус и как загрузочный вирус.

После запуска вируса, происходит проверка оперативной памяти на предмет присутствия в ней уже загруженного вируса.

При запуске вируса в DOS, что делается путем вызова неопределенной в DOS функции 42h(AH) с передачей ей параметра 43h (AL) прерывания 21h и значения FFh в регистр BL.

Если проверка не выявила присутствия резидента в памяти, то происходит получение векторов прерываний 08h, 09h, 21h. Сохранение существующего вектора и замена его на собственный вектор прерывания.

При вызове функции 42h (прерывания 21h) с передачей в AL значения 43h и в BL значения FFh в AX будет возвращено значение 5678h. Хотя, в двух разных местах производится установка значения FFh в регистр BL в коде проверки присутствия тела вируса в памяти, однако в обработчике 21h прерывания при анализе функции 43h проверки значения регистра BL не производится.

В обработчиках прерываний 21h и 13h происходит копирование кода вируса в память.

Обработчик прерывания 21h вируса содержит проверки для вызова функций 42h c параметрами в AL 43h и 44h — необходимых для внутренних нужд вируса, и функций 4Bh и 3Dh c параметрами в AL равными 00h, используемых для загрузки и выполнения программы и открытия файла соответственно.

Находясь в памяти, вирус активируется, получая управление в обработчиках 08h (системный таймер — вызывается каждую секунду) и 09h (нажатие клавиши на клавиатуре) прерываний. Вирус активизируется не на каждом прерывании, а случайным образом. После активации выполняются циклы задержки, проигрываются в случайной последовательности звуки через динамик системного блока.

При обработке функции 4Bh прерывания 21h происходит заражение исполняемых файлов системы. При заражении исполняемого файла вирус выполняет следующие действия:

* получает атрибуты файла;

* далее получает информацию о наличии свободного места на текущем диске;

* открывает файл на чтение;

* затем следует проверка на зараженность файла;

* после этого происходит переопределение вектора прерывания 24h для обработки исключительных ситуаций в ходе модификации файла;

* восстанавливаются ранее сохраненные атрибуты файла, происходит закрытие файла;

* в случае, если файл еще не заражен происходит новое открытие файла - для записи;

* происходит получение даты последнего изменения заражаемого файла и сохранение ее;

* затем выделяется буфер памяти размером 1000h параграфов, в случае успешного выделения памяти происходит копирование в выделенную память тела вируса и счетчик использованных байт буфера устанавливается равным 100h параграфам.

Действия вируса при заражении различных исполняемых файлов проходят по разным алгоритмам.

Для com-файла выполняются следующие действия:

* далее считываются данные заголовка файла, и происходит сохранение их в буфере перед телом вируса, при этом увеличивается счетчик использованных байт буфера на количество байт, считанных из файла;

* после этого происходит установка позиции записи в начало заражаемого файла и запись участка буфера, размером равным счетчику использованных байт буфера.

Для exe-файла, механизм заражения будет таким:

* в начале заражения файла происходит модификация таблицы переходов exe-файла для передачи управления вирусу при запуске файла;

* происходит установка позиции записи в конец заражаемого файла и запись участка буфера, размером равным счетчику использованных байт буфера;

* после этого производится освобождение памяти ранее выделенного буфера;

* далее происходит установка ранее сохраненного времени последней модификации файла;

* файл закрывается;

* восстанавливаются ранее сохраненные атрибуты файла;

* восстанавливается ранее сохраненный вектор прерывания 24h.

В качестве загрузочного вирус выполняет следующие действия:

* в процессе загрузки происходит обращение к зараженной дискете, вирус получает управление;

* производится попытка определения первого жесткого диска и инфицирование его MBR;

* если дискета не является загрузочной, вирус выдает сообщение «Non-system disk or disk error. Replace and strike any key when ready» и остается в памяти. Если дискета является загрузочной, то извлекается резервная копия оригинальной загрузочной процедуры и продолжается загрузка;

* при последующих обращениях к дискам, используя подмененный обработчик прерывания 13h, вирус производит заражение дискет.

З.Ы. извиняюсь что сделал обзор не по шаблону