После форматирования диска троян не удаляетса, После форматирования диска троян не удаляетса Опции

ничего что некоторые посты обозначены 2008-м годом? :D
и что за волшебная "служебная дорожка" такая?

и что за волшебная "служебная дорожка" такая? smile.gif

Это из Орлушиных сказок на тему трояна в Windows7 под названием "Служба Windows Search", которая, как известно, не отключается ;) лол.

ничего что некоторые посты обозначены 2008-м годом? :D
и что за волшебная "служебная дорожка" такая?

Служебная дорожка или служебный сектор- место где записывается служебная информация о диске, для пользователя недоступна, информация с этой дорожки считывается во время начального этапа загрузки компа и используется для кофигурирования системы и настройки программного обеспечения при работе с АТА - накопителями. Более подробно смогешь узнать если найдешь эту книгу:
А.Борзенко "IBM PC: устройство ремонт, модернизация" - рекомендуется для углублённого (вплоть до молекулярного уровня) изучения материала;
В этом случае можно посоветовать следующее:
1. Обратится к проиводителю
2. Уж коли вирус работает только в винде или убрать его с компа или ставь другую ось, в любом случае с другим хардом не использовать, есть вероятность перенести заразу.

и что за волшебная "служебная дорожка" такая? smile.gif

Это из Орлушиных сказок на тему трояна в Windows7 под названием "Служба Windows Search", которая, как известно, не отключается ;) лол.

Учите матчасть и многие проблемы с железом будут сняты, в частности почитай книгу А.Борзенко "IBM PC: устройство ремонт, модернизация" и другие по компам -помогает не попадать в неудобное положение.

Сообщение отредактировал STamm - 25.11.2009, 19:11

Служебная дорожка или служебный сектор- место где записывается служебная информация о диске, для пользователя недоступна, информация с этой дорожки считывается во время начального этапа загрузки компа и используется для кофигурирования системы и настройки программного обеспечения при работе с АТА - накопителями. Более подробно смогешь узнать если найдешь эту книгу:
А.Борзенко "IBM PC: устройство ремонт, модернизация" - рекомендуется для углублённого (вплоть до молекулярного уровня) изучения материала;

советую вылезти из бункера, на дворе уже конец 2009-го года

более того, убивает это:

2. Уж коли вирус работает только в винде или убрать его с компа или ставь другую ось, в любом случае с другим хардом не использовать, есть вероятность перенести заразу.

на старых АТА-девайсах первый служебный трек хранил в себе конфигурационную информацию, а не испольняемый код (как это есть в mbr). Ну и вирус, который сидит в буте, а значит выполняющийся до всяких виндов, но работающий только в винде... ну... )

советую вылезти из бункера, на дворе уже конец 2009-го года

В этой книжке устарело отнюдь не всё.

более того, убивает это:

2. Уж коли вирус работает только в винде или убрать его с компа или ставь другую ось, в любом случае с другим хардом не использовать, есть вероятность перенести заразу.

на старых АТА-девайсах первый служебный трек хранил в себе конфигурационную информацию, а не испольняемый код (как это есть в mbr).

А нет ли хака, позволяющего записать туда помимо данных исполняемый код и затем использовать какой-нибудь неконтролируемый буфер в БИОСе? Вы точно знаете формат команды записи информации на служебную дорожку: она содержит только жёстко фиксированные поля?

Ну и вирус, который сидит в буте, а значит выполняющийся до всяких виндов, но работающий только в винде... ну... )

Куда именно может записываться такой вирус, Бог знает... Может и не в ОЗУ, а, например, во флэш-память, если она не закрыта для записи аппаратно, потом переписываться в "тень" БИОС и активироваться при определённых условиях, например вызове недокументировнной функции...

Вопрос такой:
Допустим, с хардом всё понятно - запись супермегагигахитрого вируса на служебную дорожку винта - штука маловероятная.

А вот с биосом? Если в дефолтовых настройках BIOS разрешена запись Flash BIOS и там (в тени, или ещё где) поселилась зараза, поможет SMOS CLEAR?

Вопрос такой:
Допустим, с хардом всё понятно - запись супермегагигахитрого вируса на служебную дорожку винта - штука маловероятная.

А вот с биосом? Если в дефолтовых настройках BIOS разрешена запись Flash BIOS и там (в тени, или ещё где) поселилась зараза, поможет SMOS CLEAR?

CMOS -- это отдельный блочок памяти в микросхеме часов реального времени. Так что не поможет.

Служебная дорожка или служебный сектор- место где записывается служебная информация о диске, для пользователя недоступна, информация с этой дорожки считывается во время начального этапа загрузки компа и используется для кофигурирования системы и настройки программного обеспечения при работе с АТА - накопителями. Более подробно смогешь узнать если найдешь эту книгу:
А.Борзенко "IBM PC: устройство ремонт, модернизация" - рекомендуется для углублённого (вплоть до молекулярного уровня) изучения материала;
советую вылезти из бункера, на дворе уже конец 2009-го года

Если ты прочел что-то новее и отменяющее то, что там написано, дай ссылку скажу большое спасибо..

более того, убивает это:
2. Уж коли вирус работает только в винде или убрать его с компа или ставь другую ось, в любом случае с другим хардом не использовать, есть вероятность перенести заразу.

на старых АТА-девайсах первый служебный трек хранил в себе конфигурационную информацию, а не испольняемый код (как это есть в mbr). Ну и вирус, который сидит в буте, а значит выполняющийся до всяких виндов, но работающий только в винде... ну... )

Кто сказал исполняемую? Могет уважаемый Антон вспомнит где находятся резервные сектора диска и как к ним можно обратится? А насчет служебного трека и отнють не первого по уверениям Антона: Конфигурационную инфу?, да, в том числе к какому адресу в какой последовательности обратится и куда разместить считанную инфу. Могет это направит мысли Антона в нужном направлении.

CMOS -- это отдельный блочок памяти в микросхеме часов реального времени. Так что не поможет.

Я имел ввиду "обнуление" биоса. Есть такие джампера на материнках - SMOS CLEAR называются, эффект тот же самый, что батарейку вынуть.

Если вынуть батарейку, закоротить контакты её и пр., исчезнет из биоса зараза?

CMOS -- это отдельный блочок памяти в микросхеме часов реального времени. Так что не поможет.

Я имел ввиду "обнуление" биоса. Есть такие джампера на материнках - SMOS CLEAR называются, эффект тот же самый, что батарейку вынуть.

Если вынуть батарейку, закоротить контакты её и пр., исчезнет из биоса зараза?

Увы, нет. Ещё раз: обнуляется не сам БИОС, а параметры, которые в него передаются из CMOS или NVRAM. Истребить заразу из БИОС вообще достаточно проблематично: например, при загрузке любой ОС вирусяка может сесть в памяти и перехватывать операции по записи во флэш-память БИОС, чтобы избежать своего уничтожения. Единственный надёжный способ -- внешний аппаратный программатор...

А загрузочная дискета с новой прошивкой не решит проблему?
Допустим, новая прошивка по размеру различается от старой и сменятся ведь адреса секторов памяти.

Хотя..., если вирус будет на лету перехватывать команды загрузчика...

Понятно, короче.

Сообщение отредактировал gutallin - 26.11.2009, 21:05

А загрузочная дискета с новой прошивкой не решит проблему?
Допустим, новая прошивка по размеру различается от старой и сменятся ведь адреса секторов памяти.

Не решит. При самотестировании машины при включении управление передаётся БИОС и... вирусяка загружен в память... Загрузка с диска начинается позже... :(

Понятно, короче.

Конечно. Программатор нужен. Благо процедура рублей 300 стОит. Было бы где её сделать...

orlusha

А нет ли хака, позволяющего записать туда помимо данных исполняемый код и затем использовать какой-нибудь неконтролируемый буфер в БИОСе?

каким образом?
тот же вопрос к господину STamm . Возможно мой встречный вопрос направит ему мысль в нужном направлении
каким образом в "недоступный пользователю сектор" попадет указетль на другую выполняемую область? кто будет писать драйвер для этого учитывая разные модели винтов? проще сразу из под винды переписать mbr и рестартнуть винду, не мучая себя неблагодарной работой. К тому же современные винты хранят конфиги в прошивке, а не на механике в "служебном секторе".

Могет уважаемый Антон вспомнит где находятся резервные сектора диска и как к ним можно обратится?

зачем к ним обращаться? если сильно хочется можно ковырять протокол и драйвер, ремапы происходят прозрачно, "прямодоступный" Createfile() принимает не абсолютный указатель на сектор.

К тому же современные винты хранят конфиги в прошивке, а не на механике в "служебном секторе".

По-моему, всё же разные параметры на разных винчестерах хранятся по-разному.

Могет уважаемый Антон вспомнит где находятся резервные сектора диска и как к ним можно обратится?

зачем к ним обращаться? если сильно хочется можно ковырять протокол и драйвер, ремапы происходят прозрачно, "прямодоступный" Createfile() принимает не абсолютный указатель на сектор.

Чисто теоретически: Тело вируса могет быть записано в определенном месте, затем эти сектора или блоки отмечаются как "bed" или как резервные, но в Бутсекторе указывается жесткая ссылка на физический адрес вируса. При загрузке по этой ссылке считывается в память некая программа, которая и активизирует вирус при определённых условиях. При выключении компа программа перед выгружением из памяти производит запись в бутсектор.

Если сектор помечен как relocated винт к нему не обращается (к телу), будь хоть двести ссылок на него. Причем это нативная работа механики винта, а не драйвера. С сектора отвечающего за пользовательские данные они считываются, а не выполняются.
Модифицировать mbr можно через createfile()/writefile(), эта функция дает прямой доступ через драйвер устройства, mbr расположен в нулевом логическом секторе. Модификация выполняется и под виндой, в другой сектор пишется исполняемый код, переход на который задается в мбр (в мбр 512 байт, если хватит - можно и не ссылаться далее). Можно загримировать под super-lilo, функциональность та же.
Никаких волшебных служебных дорожек нафиг не нужно, работает на огромном кол-ве устройств (драйвер предоставляет ОС).

Если сектор помечен как relocated винт к нему не обращается (к телу), будь хоть двести ссылок на него. Причем это нативная работа механики винта, а не драйвера. С сектора отвечающего за пользовательские данные они считываются, а не выполняются.
Модифицировать mbr можно через createfile()/writefile(), эта функция дает прямой доступ через драйвер устройства, mbr расположен в нулевом логическом секторе. Модификация выполняется и под виндой, в другой сектор пишется исполняемый код, переход на который задается в мбр (в мбр 512 байт, если хватит - можно и не ссылаться далее). Можно загримировать под super-lilo, функциональность та же.
Никаких волшебных служебных дорожек нафиг не нужно, работает на огромном кол-ве устройств (драйвер предоставляет ОС).

Вынужден признать, что возразит против сказанного не чего, не тот уровень знаний. Плюсик поставить не могу, еще не дорос. Если чем наступил на любимую мозоль извини. Приятно было пообщаться, но ссылочку для поднятия уровня скинь.
А насчет виря, проблема не нова, нужно только погуглить.
Немного о нем здесь: http://forum.drweb.com/index.php?showtopic...0&start=120.

прямую ссылку не дам (потому как это хелп, есть просто обсуждения), но вот об этой функции:
http://msdn.microsoft.com/en-us/library/aa...5,classic).aspx
через CreateFile() файл открывается и получаем хендл на него (все устройства представляют собой файл, потому унифицированные операции чтения и записи в них. Потому же, кстати, нельзя создать файл aux/con/prn - такие "файлы" уже есть, и представляют собой устройства). Устанавливается позиция через SetFilePointer() и читается/пишется в буфер через ReadFile/WriteFile. МБР находится в "файле" устройства по смещению 1be, там 4 блока об 4х разделах (если раздел расширенный - из него может быть еще 4 блока), узнаем смещение раздела и можем гадить уже в нем не трогая других.
работал я с этим мало, дальше гадостей дело не уходило (программа переносила загрузчик, и загрузиться в ОС можно было только воткнув предварительно специальную флешку в комп - типа самопальная защита фиксилась в обход тупо консолью восстановления командами fixboot и fixmbr ).

Уровень файла устройства не позволяет работать со служебными дорожками, таблицей плохих блоков и т.п.

Для такой работы служат специальные порты контроллера жёстких дисков и специальные команды, в них выдаваемые. Подробности можно найти в исходниках HDDSPEED или других технологических программ такого рода.

ну так "работа" - понятие растяжимое, кому будет хуже от того, что вирус находится в блоке что помечен как перенесенный?