После форматирования диска троян не удаляетса, После форматирования диска троян не удаляетса Опции

Если сектор помечен как relocated винт к нему не обращается (к телу), будь хоть двести ссылок на него. Причем это нативная работа механики винта, а не драйвера.

Не механики, а прошивки -- ибо в диске есть своя флэш-память, куда записывается микропрограммное обеспечение, обеспечивающее выполнение команд контроллера. Иногда такую операцию приходится делать при обнаружении ошибок в прошивке, если производитель объявляет о них (было примерно год назад с сигейтовскими дисками). У производителей есть писалка для таких целей. В принципе, кто-то мог хакнуть писалку и прошивку, залить туда нужный код для сокрытия вируса в потаённом месте и спрятать вирус хоть на служебной дорожке, хоть на резервной, хоть где, добавив код команды контроллера для считывания этого вируса. Это не очень просто, но вполне выполнимо. Если вирус находит знакомый ему диск, он закачивает в него изменённую прошивку, пишется на выделенную для себя дорожку, невидимую драйверу... и привет. Вообще хрен убьёшь.

С сектора отвечающего за пользовательские данные они считываются, а не выполняются.
Модифицировать mbr можно через createfile()/writefile(), эта функция дает прямой доступ через драйвер устройства, mbr расположен в нулевом логическом секторе. Модификация выполняется и под виндой, в другой сектор пишется исполняемый код, переход на который задается в мбр (в мбр 512 байт, если хватит - можно и не ссылаться далее). Можно загримировать под super-lilo, функциональность та же.
Никаких волшебных служебных дорожек нафиг не нужно, работает на огромном кол-ве устройств (драйвер предоставляет ОС).

А это уровень немного другой, известный лет 20 с тех пор, как на дисках появилась MBR...

Если волшебной дорожкой воспользовались-таки, хрен чего сделаешь...

Почему я уверен, что у пострадавшего поломана или прошивка, или служебная дорожка (или и то, и другое)? -- Потому что в идентификации диска левые строки, а идентификация эта отнюдь не в MBR и не в загрузочном секторе активного раздела.

прямую ссылку не дам (потому как это хелп, есть просто обсуждения), но вот об этой функции:
http://msdn.microsoft.com/en-us/library/aa...5,classic).aspx
через CreateFile() файл открывается и получаем хендл на него (все устройства представляют собой файл, потому унифицированные операции чтения и записи в них. Потому же, кстати, нельзя создать файл aux/con/prn - такие "файлы" уже есть, и представляют собой устройства). Устанавливается позиция через SetFilePointer() и читается/пишется в буфер через ReadFile/WriteFile. МБР находится в "файле" устройства по смещению 1be, там 4 блока об 4х разделах (если раздел расширенный - из него может быть еще 4 блока), узнаем смещение раздела и можем гадить уже в нем не трогая других.
работал я с этим мало, дальше гадостей дело не уходило (программа переносила загрузчик, и загрузиться в ОС можно было только воткнув предварительно специальную флешку в комп - типа самопальная защита фиксилась в обход тупо консолью восстановления командами fixboot и fixmbr ).

Спасибо, но я узкий специалист в области весьма далекой от Ай-Ти, можно сказать диаметрально противоположной, а уж компы -это чтобы мозги не заржавели. Информация интересная, постараюсь подробнее узнать про современное устройство девайсов, гугль мне в помощь.

Не механики, а прошивки

я забыл поставить кавычки, имел ввиду что это делает сам винт, а не драйвер.

STamm на ixbt много психов по этой части, гугль обычно ведет на перекопипащенные хоумпаги юных ксакепов

Не механики, а прошивки

я забыл поставить кавычки, имел ввиду что это делает сам винт, а не драйвер.

Разница радикальная, ибо механику поменять нельзя, а прошивку -- можно. Чем зловредописцы, похоже, и занялись.

В инновационные времена живём, етит их за ногу!...

Если сектор помечен как relocated винт к нему не обращается (к телу), будь хоть двести ссылок на него. Причем это нативная работа механики винта, а не драйвера.

Не механики, а прошивки -- ибо в диске есть своя флэш-память, куда записывается микропрограммное обеспечение, обеспечивающее выполнение команд контроллера. Иногда такую операцию приходится делать при обнаружении ошибок в прошивке, если производитель объявляет о них (было примерно год назад с сигейтовскими дисками). У производителей есть писалка для таких целей. В принципе, кто-то мог хакнуть писалку и прошивку, залить туда нужный код для сокрытия вируса в потаённом месте и спрятать вирус хоть на служебной дорожке, хоть на резервной, хоть где, добавив код команды контроллера для считывания этого вируса. Это не очень просто, но вполне выполнимо. Если вирус находит знакомый ему диск, он закачивает в него изменённую прошивку, пишется на выделенную для себя дорожку, невидимую драйверу... и привет. Вообще хрен убьёшь.

С сектора отвечающего за пользовательские данные они считываются, а не выполняются.
Модифицировать mbr можно через createfile()/writefile(), эта функция дает прямой доступ через драйвер устройства, mbr расположен в нулевом логическом секторе. Модификация выполняется и под виндой, в другой сектор пишется исполняемый код, переход на который задается в мбр (в мбр 512 байт, если хватит - можно и не ссылаться далее). Можно загримировать под super-lilo, функциональность та же.
Никаких волшебных служебных дорожек нафиг не нужно, работает на огромном кол-ве устройств (драйвер предоставляет ОС).

А это уровень немного другой, известный лет 20 с тех пор, как на дисках появилась MBR...

Если волшебной дорожкой воспользовались-таки, хрен чего сделаешь...

Почему я уверен, что у пострадавшего поломана или прошивка, или служебная дорожка (или и то, и другое)? -- Потому что в идентификации диска левые строки, а идентификация эта отнюдь не в MBR и не в загрузочном секторе активного раздела.

Грызу свои локти, говорила мне мама: "Учись сынок!".

java script:emoticon(':+:',%20'smid_5')java script:emoticon(':+:',%20'smid_5')java script:emoticon(':+:',%20'smid_5')

[pawlap]

http://www.rom.by/article/Birus-y_Chast_pervaja

http://www.rom.by/article/Birus-y_Chast_pervaja

:+: :+: :+: СПАСИБО ЗА ССЫЛКУ, КОЛЛЕГА!!!

Особенно порадовало в этой ссылке то, что в число особо опасных сайтов автор внёс-таки сайты туристской направленности -- я упарился в турфирмах выковыривать всякую дрянь, никак их не убедить, что направление особо опасно в плане вирусов и из-под венды там в инете работать нельзя.

Одну вещь он забыл -- то, что если в операционке закрыта прямая запись в порты, в ней эта гадость установиться в БИОС не сможет. В никсах закрыта всегда. В вендах -- не во всех и не всегда (издержки "удобства").

Теперь есть общедоступный аргумент -- буду показывать. Ибо подобная гадость способна убедить даже самого беспечного вендузятнега. Занёс в ссылки. Респект и уважуха!

http://www.rom.by/article/Birus-y_Chast_pervaja

Понравилось вот что: "его (бируса) код получает возможность работать в ЛЮБОЙ операционной системе"... А как же вендекапец?