Раздел: Документация

0 ... 67 68 69 70 71 72 73 ... 102

разовала там устойчивый очаг заражения, проникающий на «стерилизован винчестер в процессе восстановления информации. Повторное форма11."11* ние винчестера — неважно, «низкоуровневое» оно или нет, абсолютно ни "а не даст, ведь основной вирусный плацдарм расположен совсем в другом ме/ Лет десять-иятнадцать назад, во времена господства MS-DOS, когда объ жестких дисков измерялись в лучшем случае сотнями мегабайт, обнаруж1 большинство вирусов можно было и «визуально» — простым дизассембли Ь ванием всех исполняемых файлов и драйверов (естественно, для этого требо валось знать ассемблер и архитектуру операционной системы). Теперь -Windows «разжирела» настолько, что проверить все места потенциального оби тания вирусов на предмет присутствия заразы стало просто нереальным. А по тому при матейшем подозрении на вирус лучше всего начисто переустановить операционную систему и все сопутствующие ей приложения с дистрибутивных дисков. Несмотря на всю незамысловатость такой меры, она дает практически 100 %-пую гарантию удаления всех файловых и загрузочных вирусов и, в отличие от форматирования диска, не требует предварительного резервирования всей имеющейся у вас информации. Попутно заметим, что использование антивирусов дает значительно худший результат: как показывает практика, далеко не все «дети» полиморфных «родителей» обнаруживаются и корректно обезвреживаются. Последствия же некорректного лечения могут носить самый разный характер: в лучшем случае после лечения операционная система будет работать нестабильно, в худшем же — недобитые копии вирусов продолжат свое размножение в системе! Поэтому в случае обнаружения вируса разумнее не доверять его лечение антивирусу, а тщательно «выжечь» всю систему, как наши предки выжигали чумные деревни и города. Одна из возможных стратегии расправы с вирусами выглядит так:

1.Если вы пользуетесь операционной системой Windows 95/98/Ме, просто загрузитесь с любого заведомо стерильного CD-диска или дискеты. Для этого, возможно, вам придется изменить порядок загрузки в BIOS Setup — первым загрузочным устройством должен быть не жесткий диск, а привод CD-ROM или флоп. Некоторые продвинутые материнские платы поддерживают меню динамического выбора загрузочного устройства, обычно вызываемое путем удерживания клавиши Esc во время прохождения процедуры POST.

2.Если вы пользуетесь операционной системой Windows NT/2000/XP и ра ботаете под NTFS, вам потребуется вытащить жесткий диск из своего ком ньютера и подцепить его на заведомо стерильный компьютер с ндентичн операционной системой, причем ваш диск должен быть «вторым». ДрУ1 словами, необходимо добиться того, чтобы загрузка осуществлялась создо рового диска. Далее:

1) Скопируйте все ценные данные из папок Windows (WINNT) и Program Files-В частности, в папке \Windows\AII User хранятся профили всех за( гистрированпых пользователей, в панке \Windows\Application Data, и следует из ее названия, — данные Windows-приложений (почтовая с Outlook Express, адресная книга и т. д.). Панка \Windows\Favorites CCJ];0. что иное, как меню Избранное, отображаемое Internet ExploreroM-1 * нец, \Windows\Pa6o4MCi стол хранит в себе все файлы и ярлыки с Ра"°ч д. Стола. С содержимым панки Program Files вам придется разбираться

---

состоятельно, поскольку оно зависит от конкретных установленных вами программ и Дать общие рекомендации здесь просто невозможно. Удалите папки Windows (WINNT) и Program Files, включая вложенные нап-ки а также все остальные панки, содержащие в себе исполняемые фай-лы ранее установленных приложений. Еще удалите файлы autoexec.bat и config-sys из корневой директории. Эту операцию лучше всего осуществлять с помощью Far Manager или Windows Commander, но только не Проводника Windows, поскольку последний при входе в папку автоматически загружает профили нанки, хранящиеся в файлах folder.htt и desktop.ini, а они могут содержать вирусы! Так что лучше удалите и их.

3)Верните жесткий диск назад в свой компьютер и переустановите операционную систему, загрузившись с загрузочного CD или дискеты. Переустановите все остальные приложения, которые были удалены.

4)Восстановите данные приложений, сохраненные из панок Windows (WINNT) и Program Files, па их законное место.

5)Все! Теперь можете спокойно работать!

Очень хорошо зарекомендовала себя следующая методика: после установки операционной системы н всех сопутствующих ей приложений просто скопируйте содержимое диска на резервный носитель и затем, — когда будет зафиксирован факт вторжения в систему (вирусного или хакерского — неважно), — просто восстановите все файлы с резервной копии обратно. Главное преимущество данного способа — его быстрота и ненривередливость к квалификации администратора (или, в общем случае, лица, осуществляющего удаление вирусов). Конечно, следует помнить о том, что:

•достаточно многие программы, тот же Outlook Express, например, сохраняют свои данные в одном из подкаталогов папки Windows, и если почтовую базу не зарезервировать отдельно, то после восстановления системы она просто исчезнет, что не есть хорошо;

•некоторые вирусы внедряются не только в файлы, но также и в boot- и/или MBR-ceicropa. и для удаления их оттуда одной лишь перезаписи файлов недостаточно;

•вирус может перехватить системные вызовы и отслеживать попытки замещения исполняемых файлов, имитируя свою перезапись, но не выполняя ее в Действительности.

Ее

тественно, в случае заражения известными вирусами можно прибегнуть Помощи антивирусов, однако существует весьма высокая вероятность столк-1 ,Ься с некорректным удалением вируса из файлов, в результате чего система о полностью теряет свою работоспособность, либо вирус остается недоле-с0щ11уМ " <<ВЫживает>> и зачастую после этого уже не детектируется антивиру-К0п ж лучше просто удалить зараженный файл, восстановив его с резервной ТовИИ! конечно, это не гарантирует того, что в системе не осталось компонен-ест\КрЫТ° внедРениых вирусом, однако такие компоненты (если они вообще % М,°ГУТ быть обнаружены но одной из описанных выше методик. Правда, ТреРсбует определенного времени, и не факт, что оно окажется меньшим, чем "Уется для полной переустановки операционной системы.

---

ЧАСТЬ IV

ОПЕРАЦИОННЫЕ СИСТЕМЫ

Глава 8

ФИЛОСОФИЯ И АРХИТЕКТУРА NT ПРОТИВ UNIX СТОЧКИ ЗРЕНИЯ БЕЗОПАСНОСТИ,

в которой автор сначала доказывает, что ничто не может быть хорошим или плохим само по себе, а потом оказывается под перекрестным огнем помидоров, летящих со всех сторон

Глава 9

КРАСНАЯ ШАПОЧКА, АГРЕССИВНЫЙ ПИНГВИН, ПРОНЫРЛИВЫЙ ЧЕРТЕНОК И ВСЕ-ВСЕ-ВСЕ...

из которой выясняется, что Windows не такая уж и плохая система

0 ... 67 68 69 70 71 72 73 ... 102