Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Технический флейм » Чем удалить вирус NYB? |
<<Назад Вперед>> | Страницы: 1 2 * 3 4 | Печать |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Rio444 написал: Попробую, но боюсь на флешке это не сработает (в смысле не оставит её загрузочной). Недокументированные возможности программы FDISK |
XPOHOMETP
Advanced Member
Всего сообщений: 752 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мая 2015 |
CodeMaster написал: Чтобы осталась загрузочной - должны совпасть C/H/S и активность нужного раздела. Попробую, но боюсь на флешке это не сработает (в смысле не оставит её загрузочной) Если делать на другом компе, то по первому пункту изменения могут быть иногда. Тогда уж не за загрузку, а за сохранность файлов переживать надо! Ну и если что, после fdisk можно ведь еще sys сделать (системную дискету приготовить заранее). А если файлы по любому копировать, так можно и по новой на разделы разбить. Только первый сектор флешки затереть чем-нибудь перед этим (вирус убить). Да и не уточнили что за флешка - CF, USB, ... Последняя и загрузочным флоппи прикидываться может. Там не Master конечно, но Boot Record все же есть |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
XPOHOMETP написал: USB. CF это, в принципе, почти винт. Да и не уточнили что за флешка - CF, USB, ... XPOHOMETP написал: Это всё неспортивно! Вирус должен удалять антивирус. А так можно диск и в пушке Гаусса очистить, для верности. Ну и если что, после fdisk можно ведь еще sys сделать |
XPOHOMETP
Advanced Member
Всего сообщений: 752 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мая 2015 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 14 апреля 2018 20:05 Сообщение отредактировано: 15 апреля 2018 6:46
CodeMaster написал: Ну так MBR с винтов и пошел. С загрузочной USB-флешкой и другие варианты существуют. USB. CF это, в принципе, почти винт. CodeMaster написал: Зато оперативно! За время поиска и установки антивируса можно пять раз этот вирус вручную извести... Это всё неспортивно! Опять же что за вирус (и какого он года) - непонятно. Где гарантия, что он найдется в базе старого антивируса? В общем дело хозяйское CodeMaster написал: Ну это как посмотреть Казнить нельзя помиловать !!! Вирус должен удалять антивирус. |
Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
Ни MBR ни Boot Record никакой информации не несут. Boot Record - небольшой код, который ищет и загружает ось. MBR - ищет активный диск и загружает Boot Record. Лечить там нечего. Если найдётся антивирус, который сможет это "вылечить", уверен, он просто создаст новую MBR и Boot Record. Причем, первая почти одинакова для всех ос (для старых 2 разновидности), вторая может отличатся в зависимости от ос. Пишу по памяти, могут быть неточности. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Rio444 написал: MBR содержит таблицу разделов диска. Ни MBR ни Boot Record никакой информации не несут. Rio444 написал: Если один раздел на весь диск, то да. Лечить там нечего. Rio444 написал: Мне интересно сможет ли он это сделать на загрузочной флешке. Если найдётся антивирус, который сможет это "вылечить", уверен, он просто создаст новую MBR и Boot Record. |
XPOHOMETP
Advanced Member
Всего сообщений: 752 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мая 2015 |
Rio444 написал: И в той, и в другой исполняемый код однозначно есть, пусть и небольшой. Значит есть откуда вызвать вирус. Лечить там нечего. Тем более, MBR 1 сектор занимает обычно, до конца дорожки пусто - вирус достаточно толстым может быть. Rio444 написал: Если он сможет корректно извлечь информацию по C/H/S из текущей MBR - проблем не будет. Если найдётся антивирус, который сможет это "вылечить", уверен, он просто создаст новую MBR и Boot Record. Просто сейчас вагон утилит есть для создания загрузочной флешки, как делали эту - неизвестно. А один и то же объем диска можно получить при совершенно разном соотношении C/H/S, главное чтобы их произведение совпадало. При этом положение Boot Record на диске тоже может измениться CodeMaster написал: С учетом изложенного выше, определенные сомнения, что флешка останется загрузочной. имеют право возникнуть... Мне интересно сможет ли он это сделать на загрузочной флешке. Но тут и с fdisk-ом та же засада. Так что если файлы ценные - только резервная копия. |
Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
XPOHOMETP написал: Имел в виду, что код этот типовой. Проще записать его заново, чем пытаться вычленить и удалить вирус. И в той, и в другой исполняемый код однозначно есть, пусть и небольшой. Значит есть откуда вызвать вирус. Теоретически вирус может зашифровать таблицу разделов. И антивирус теоретически может её расшифровать. Это единственная польза от антивируса в таком случае. Что касается флешки, не сталкивался. Не знаю, как там организованы данные. |
XPOHOMETP
Advanced Member
Всего сообщений: 752 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мая 2015 |
Хорошо, тоже попробую изложить мысли другими словами. Rio444 написал: Проблема не код восстановить, а получить те же цифры геометрии что и были до того - совпадать они не обязаны. Имел в виду, что код этот типовой. Проще записать его заново, чем пытаться вычленить и удалить вирус. Делать USB Flash можно в разных форматах и разными средствами от DOS-овских fdisk/format до какой-нибудь HP Flash Disk Format Utility работающей из под Windows. Если кол-во цилиндров/головок/секторов то же, всё сохранится. Будут отличия - можно потерять либо возможность загрузки, либо данные полностью. С жестким диском, например, те же проблемы быть могут, только там вариантов поменьше: Rio444 написал: Те, которые через USB подключаются можно как HDD подготовить. Будет с MBR и т.д. Что касается флешки, не сталкивался. Не знаю, как там организованы данные. Можно подготовить как FDD, только размером на всю флеш. Будет BR как на дискете. Можно вообще образ CD/DVD на USB Flash положить. Там тоже какой-то свой загрузчик запишется. И все варианты могут быть загрузочными, в том числе и для DOS. Есть эти варианты в BIOS материнской (обычно там где выбор загрузочного устройства). |
Forza3dfx
Advanced Member
Всего сообщений: 493 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 мар. 2015 |
FDISK /MBR можно использовать, если есть уверенность, что в MBR-секторе сидит какой-нибудь примитив типа Stoned-подобного. Иначе можно остаться без информации на диске. Например, вирус, садящийся в MBR-сектор, может зашифровать таблицу разделов и расшифровывать ее на лету при загрузке, если командой FDISK /MBR заместить вирусный код, то таблица разделов останется зашифрованной, со всеми вытекающими... Или известный всем файлово-загрузочный OneHalf шифрует сектора начиная с конца диска и расшифровывает их на лету при обращении к ним, голова вируса находится в MBR-секторе и если командой FDISK /MBR заместить ее, то при следующей перезагрузке невозможно будет получить доступ к зашифрованным секторам... Или еще вот такой пример - вирус вроде бы не ахти какой, но все сектора, к которым идет обращение через обычные функции чтения/записи (02h и 03h) прерывания 13h, может перезаписывать функцией длинной записи, при обращении к таким секторам он их считывает длинным чтением. Использование команды FDISK /MBR сделает эти сектора недоступными для чтения обычными средствами при следующей перезагрузке... Опять же - самый простейший вирус может вообще не касаться MBR-сектора, а садиться в BOOT-сектор активного загрузочного раздела, он только посмеется при вводе команды FDISK /MBR... )) То же самое будет, если более продвинутый вирус изменит в MBR-секторе не загрузочный код, а всего лишь ссылку на BOOT-сектор активного раздела в таблице разделов на сектор, содержащий его голову, где-нибудь на нулевой дорожке. Команда FDISK /MBR окажется импотентна... Еще более продвинутый загрузочный или файлово-загрузочный вирус может при загрузке определить адрес прерывания DOS Int 21h и фильтровать, например, файловые операции - при запуске любой программы через функцию 4Bh узнать имя файла и если это FDISK, то сделать с ним все, что душа пожелает... подставив при запуске команды FDISK /MBR вместо MBR-сектора любой другой... Вообще стелсироваться вирус может гораздо интереснее - не на уровне Int 13h, а на уровне аппаратного прерывания контроллера жесткого диска... И т.д. и т.п. Компьютерная вирусология достаточно интересна и разнообразна. Так что лечить есть чего...)) Точнее не лечить, т.е. исправлять последствия и снимать симптомы, чем занимается наша официальная медицина, а разбираться в причинах возникновения... |
<<Назад Вперед>> | Страницы: 1 2 * 3 4 | Печать |
Полигон-2 » Технический флейм » Чем удалить вирус NYB? |
0 посетителей просмотрели эту тему за последние 15 минут |
В том числе: 0 гостей, 0 скрытых пользователей |
Последние | |
[Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. |
Самые активные 5 тем | |