Режем по живому: Восстановление FAT. Таблица размещения файлов, поврежденная вирусом WIN95.CIH может быть восстановлена!
На вашем винчестере похозяйничала злобная тварь Win95.CIH? Да — этот зловред до сих пор бродит по свету, то и дело принимаясь за старое. BIOS цел, но испорчен FAT? Еще не все потеряно — бесценная информация поддается восстановлению! Все не так уж плохо: вирус портит каждый восьмой сектор всех жестких дисков. А это значит, что в любом случае теряется Master Boot Record (главная загрузочная запись), так как она находится в самом начале диска: Cyl0, Side0, Sec1 — что на русском языке означает: "Цилиндр 0, Сторона 0, Сектор 1". Иногда (в зависимости от объема диска) может потеряться Boot Record, расположенная на Cyl0, Side1, Sec1. То есть частично разрушены обе FAT. Первая копия начинается с Cyl0, Side1, Sec33. А вторая копия идет следом за ней. Также частично разрушены файлы, находящиеся в самом начале диска. Это служебные файлы операционной системы, интереса они не представляют, и то, что они не подлежат восстановлению, нас не должно огорчать. Теперь нужно восстановить Master Boot Record, Partition Table, Boot Record и FAT. Это не так сложно и страшно, как звучит. Для восстановления нам понадобятся программы Diskedit и dub.exe (можно взять на нашем компакте), а также второй жесткий диск. Процесс пошел
Так как всего существует две копии FAT, то
DUB совсем не дуб, когда доходит до дела. повреждения находятся в разных местах. И нам всего лишь нужно собрать из двух нерабочих копий одну рабочую версию. Для сравнения и сборки FAT нам понадобится упомянутая выше утилита dub.exe. Но для начала надо выделить обе FAT в файлы. Для этого подключаем второй жесткий диск, загружаемся с досовской дискеты и запускаем Diskedit. Запустив утилиту, мы получаем доступ к жесткому диску как к физическому устройству (ALT+D). Нажав ALT+P,переходим на сектор Cyl:0,Side:1,Sec:33. Если FAT там не начинается (выглядит FAT как массив чисел; начало массива состоит из маленьких чисел, к концу они увеличиваются), то его можно найти через меню Tools\FindObject\FAT. Далее записываем адрес на бумажку и повторяем поиск для нахождения второй копии FAT. Теперь немного устного счета: из начального сектора второй копии вычитаем начальный сектор первой и получаем размер FAT-1 в секторах. Теперь, когда известны размеры обеих копий, можно перейти непосредственно к сохранению. Перейдя на физический сектор (уже знакомая комбинация ALT+P), указываем адрес начала первой таблицы, а в поле "количество секторов" заносим вычисленный размер FAT-1. Далее нажимаем ALT+W\to a file. Указываем путь, куда сохранить файл и имя. Сохраняться FAT должен на второй винчестер, потому что ваш пока система не видит.Точно те же действия необходимо повторить для получения FAT-2. Теперь предстоит самый нудный процесс ручной сборки FAT. Запускаем утилиту dub.exe с параметром <имя 1-го файла> <имя второго фала>. Можно проще — пишем dub.exe fat1 fat2. Где fat1, fat2 — имена файлов-копий FAT. Появляются два окна. В верхнем — первый файл, а в нижнем, соответственно, — второй. Отличающиеся байты маркированы желтым цветом. Так что если увидели желтые байты — жмите F6. Это заменит сбойные участки. Продвигаемся по файлу стрелочками. Процесс долгий — запаситесь терпением. Добравшись до конца файла, жмем F10, файл автоматически сохранится, и мы окажемся в первозданном DOS. Теперь следует найти ROOT (корневой каталог). Для этого в Diskedit надо перейти на начало диска и пройти в Tools\FindObject\Subdirectory. Показанное и будет искомым ROOT’ом. Теперь его тоже нужно сохранить на диск файлом рядом с FAT’ом. Финишная прямая
Теперь запускаем fdisk.exe. Надо создать основной раздел точно такого же размера, как раньше. Если этого не сделать — будут отличаться размеры FAT, и ROOT окажется в другом месте. Выходим из fdisk, перезагружаемся. Теперь форматируем диск: format /u /s. Это восстановит Master Boot Record, Partition Table и Boot Record. Теперь, в качестве финального штриха, запускаем Diskedit, копируем на место первой и второй существующих FAT нашу исправленную версию. На место нового ROOT копируем старый, сохраненный. Перезагрузка... All done!
Уф-ф... все получилось. Если нигде не было ошибок. Здесь, как у саперов, — достаточно одной неточности, и... Сапер от лопатки недалеко падает. Будьте бдительны — не позволяйте всякой нечисти хозяйничать у вас на винчестере. Иначе придется пройти через то, что я описал.
Алексей Макаренков Вирусный TOP
"Лабораторией Касперского" (www.kaspersky.ru) меньше месяца назад был запущен новый сетевой проект — TOP 20 самых распространенных в Рунете вирусов (обновляется ежемесячно). Данные для сводки собираются не только по комментариям пользователей, но и по информации, предоставленной почтовыми службами и сайтами различной направленности. Так что выборка довольно большая, и на ее основе можно делать соответствующие выводы. По крайней мере, ознакомление со сводкой может локализовать поиск злобных вирей на вашей машине. Если вы подозреваете, что на вашем компьютере поселился злобный "зверь", а полноценного антивирусного пакета под рукой нет, то, сверившись со сводкой, вы можете скачать из Сети несколько бесплатных утилит, призванных уничтожить конкретные вирусы (подобные программы выпускаются самыми различными компаниями и частными лицами). Сканируете свои винты на предмет наличия болезнетворных тварей — и спите спокойно.
Nimda шагает по Сети
Сбываются худшие предсказания экспертов, согласно которым червь Nimda войдет в историю Интернета как один из самых заразных вирусов. Казалось бы, сколько предупреждали, сколько объявлений на сайтах вешали... ничто не помогает. По сей час заражению ежедневно подвергаются около пятидесяти тысяч компьютеров. И на данный момент по всему миру заражено около трех миллионов машин, а ущерб от действия Nimda составил порядка четырехсот миллионов долларов. Конечно, пока это не идет ни в какое сравнение с ущербом, нанесенным "червем" Code Red, буйствовавшим на территории Сети с июля по август месяц сего года. Тогда потери составили порядка двух с половиной миллиардов "зеленых рублей". Но Nimda, по заверениям тех же специалистов, только набирает обороты, и покончить с ним столь же быстро, как и с "Красным Кодом", не удастся. А ведь для защиты от напасти достаточно лишь обновить антивирусные базы (практически все антивирусы на данный момент лечат Nimda) или скачать бесплатную утилиту-доктор с сайта "Лаборатории Касперского". Вирусы — убийцы Интернета?
Не секрет, что человечество, сведя практически на нет потуги главного слуги эволюции — естественного обора — контролировать людскую численность и допускать к размножению лишь самых выдающихся, лоб в лоб столкнулось с проблемой чистоты вида. Увы, давно канули в бозе времена, когда генофонд нации составляли крепкие, здоровые гены сильнейших ее представителей. С ростом технологии рос и уровень жизни, а это, в свою очередь, вело к тому, что даже самые слабые — а зачастую именно они — имели возможность наравне с сильными оставить после себя потомство. В генофонде человечества начали накапливаться всевозможные заболевания, и сейчас мы, можно сказать, стоим на грани вымирания. Так считают ученые. И кто бы мог подумать, что похожая картина происходит сейчас и с Интернетом. Только темпы развития ее куда как более высоки, а жизнь Сети, по мнению тех же самых ученых, увы, подходит к концу. Группа исследователей из корпорации MessageLabs, специализирующейся на контроле-сканировании почтовых отправлений, пришла к таким неутешительным выводам. В начале 1999'го года каждое тысячное виртуальное письмо было заражено тем или иным вирусом. С наступлением 2000'го года количество инфицированной почты возросло ни много ни мало в два раза. Сейчас — в конце 2001'го — заразу можно подхватить из каждого 300'го послания. Проведя ряд несложных подсчетов, специалисты MessageLabs сделали заключение, что уже в 2004'ом году будет заражено каждое сотое письмо, ну а к 2008 году Сетью вообще нельзя будет пользоваться для общения, не боясь заразиться. Увы, Интернет оказался эволюционно несовершенным, его "иммунная" система — антивирусы — пока не выдерживает столь мощной атаки вирусов извне. Так что либо в самом ближайшем будущем будут придуманы радикально новые способы защиты виртуальных сообщений, либо Сеть будет мертва для общения. Хочется надеяться, что антивирусные лаборатории не подкачают, и наши внуки еще смогут насладиться радостью пребывания в онлайне...
Червь-FATоед
Если проблема компьютерной
безопасности вас хоть сколько-нибудь волнует, то — внимание! В Интернете появился новый вирус, призывающий к всемирному объединению народов и вообще миру на Земле. За столь благими лозунгами скрывается на самом деле эдакий червь-мутант. От червя вирус — получивший название WTC — позаимствовал "половую" систему. Иными словами, размножение "бациллы" происходит путем почтового клонирования: копии виря прикрепляются ко всем оправленным вами письмам. В результате получатель становится счастливым обладателем не только вашей весточки, но и письма, в заглавии которого прописано "Мир между Америкой и Исламом". Стоит ненароком запустить приаттаченный файл — WTC.exe — и можно петь похоронную песнь своей машине. Основная мутация червя заключается в том, что он способен произвести резекцию FAT'а вашего жесткого диска. Казалось бы, вирь не самозапускающийся, даже exe-шник ничем не прикрыт. Однако компьютеры десятков тысяч пользователей по всему миру уже заражены, и эпидемия, судя по всему, не собирается сходить на нет. Так что берегитесь писем, в теле которых встречаются строчки "AmeRiCa... Few Days WiLL Show You What We Can Do! It's Our Turn! ZaCkEr is So Sorry For You'' ("Америка... Через несколько дней ты узнаешь, на что мы способны!"). Ну а если недолгая вас таки настигла, то не примените обратиться к основной теме нынешнего выпуска "Антихакера" и вместо того, чтобы, сломя голову бежать в магазин за новым "хардом", просто методично восстановите убитый FAT.
1417 Прочтений • [Режем по живому: Восстановление FAT. Таблица размещения файлов, поврежденная вирусом WIN95.CIH может быть восстановлена!] [19.05.2012] [Комментариев: 0]