ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




Архив статей


24.05.1999
Укрощение строптивого CIH'a

Вячеслав ОВСЯННИКОВ
ведущий специалист фирмы «ЕПОС»

Надевая лапти – проверь,
нет ли в них ежа.

Народный ЕПОС

 

Совсем недавно, 26 апреля, мы были свидетелями массового разрушения компьютеров (разрушение содержимого CMOS) и уничтожения информации на жестких дисках. Удар по карману владельцев компьютеров был весьма ощутимым. Сделал это вирус Win95.CIH. Следующее пробуждение этого вируса (точнее, двух его разновидностей: CIH.1010.B и CIH.1019) ожидается 26 июня. Но многие ли из нас сделали правильные выводы из случившегося 26 апреля? Да и какие, собственно, нужно сделать выводы?

Позвольте кратко напомнить что же произошло.

Что произошло 26 апреля

26 апреля активизировались разрушительные свойства основной (и, кстати, самой распространенной в Киеве) версии вируса CIH.1003.

Разрушения, вызываемые вирусом:

  • Первые 2048 секторов каждого жесткого диска уничтожаются, и на их место записывается случайная последовательность.
  • Разрушается часть содержимого BIOS.

В результате: очень большое количество компьютеров в этот день оказалось неработоспособно. В сервисный центр «ЕПОС» выстроилась очередь желающих записать BIOS или восстановить информацию на жестком диске. Многие не знали или не верили в возможность восстановления информации и поторопились переустановить операционную систему. С неизбежной, увы, потерей всех своих данных. Отчасти этому способствовали некоторые заявления в прессе и по телевидению по поводу того, что восстановить информацию после «работы» вируса Win95.CIH невозможно. На самом деле, обстоятельства складывались иначе. Статистика поступивших в сервисный центр жестких дисков и микросхем BIOS (включая системные платы и компьютеры в сборе) за первые 10 дней после 26 апреля приведена на рис. 1.

Статистика

Рис. 1. Статистика поступивших в сервисный центр жестких дисков

Видно, что удар, нанесенный вирусом Win95.CIH, был весьма ощутимым. Меньше всего пострадали те, кто серьезно относился к созданию и хранению резервных копий информации. Им, по крайней мере, не потребовалось восстанавливать диски. Совсем не пострадали владельцы компьютеров, которые своевременно обновляли свои антивирусные средства и регулярно проверяли свои компьютеры.

Как мы устраняли последствия вируса

Для устранения последствий действия вируса необходимо восстановить прошивку в BIOS и восстановить информацию на жестких дисках. С прошивкой BIOS вообще не было никаких проблем. Восстановление же информации требует определенного времени.

В большинстве случаев информация была восстановлена в полном объеме. В других – была восстановлена большая часть информации, а оставшаяся часть потребовала значительного дополнительного времени. Как правило, фактор времени являлся решающим для клиентов, и они мирились с потерей части информации. В нескольких случаях клиенты отказались от наших услуг: их не устраивало ориентировочное время восстановления или цена. В целом, статистика восстановления информации на дисках, пораженных вирусом Win95.CIH, за первые 10 дней представлена на рис. 2.

Статистика восстановления

Рис. 2. Статистика восстановления информации на дисках

В трех случаях из 266 мы отказались от восстановления информации. Это связано с тем, что клиенты самостоятельно пытались восстановить диск, и исходная информация была утрачена.

Вирусы – это серьезно, и Win95.CIH – не один

В настоящее время существует достаточно много вирусов, уничтожающих содержимое CMOS. Например, стелс-вирус FindMe (stealth virus – «невидимый вирус», как бомбардировщик «Стелс»), разрушающее действие которого ожидается 23 мая. Или другой вирус, V.789, 14 числа каждого нечетного месяца (май, июль и т.д.) уничтожает главную загрузочную запись жесткого диска и разрушает содержимое CMOS. Вирусов же, которые стирают отдельные файлы, уничтожают FAT или производят форматирование жесткого диска, известно очень много. Давно существуют вирусы, последствия действий которых не менее страшны, чем последствия действия вируса Win95.CIH. Например, считается, что невозможно восстановить информацию после поражения вирусом OneHalf (на самом деле восстановить, конечно, можно, хотя и сложнее).

Массовая эпидемия была вызвана именно вирусом Win95.CIH по трем причинам:

  1. Этот вирус обладает просто поразительной способностью к размножению.
  2. Это – относительно новый вирус, поэтому многие недостаточно свежие версии антивирусных средств, имеющихся в распоряжении пользователей, не могли его обнаружить.
  3. Разрушительные свойства вируса активизировались у всех пользователей одновременно.

Чем Win95.CIH отличается от других вирусов?

Основным отличием является то, что вирус Win95.CIH использует некоторые особенности нового формата .exe файлов, принятого в Windows 95 и Windows NT, так называемый РЕ (Portable Executable) формат. В этом формате в файле, наряду с исполняемым кодом и данными, хранится дополнительная информация (в частности, об экспортируемых и импортируемых функциях). Исполняемый код, данные и дополнительная информация – это все различные объекты, каждый из которых размещается в отдельной секции .exe файла. Добавлен также заголовок РЕ файла, который располагается в отдельной секции (рис. 3).

Структура формата РЕ

Рис. 3. Структура формата РЕ (Portable Executable)

Естественно, в большинстве секций остается свободное пространство, которое и используется вирусом Win95.CIH. Таблица размещения фрагментов и часть кода для выделения памяти и сбора всего тела вируса располагается в секции, в которой находится заголовок РЕ файла (в этой секции больше всего свободного места). Остальная часть кода вируса распределяется по остальным секциям.

Следует заметить, что в Интернете можно найти подробное описание нового формата файлов, в том числе, и специально адресованное «вирусописателям». Так что в скором времени следует ожидать появление целого семейства вирусов, подобных Win95.CIH.

Пути распространения вирусов

Как же распространяются вирусы и, в частности, вирус Win95.CIH? Обычно считается, что основной путь – это Интернет. Другие вирусы вызывают много споров о путях распространения (распространяются с играми, через дискеты и т.д.). На самом деле, любые вирусы весьма демократичны к среде обитания. Основной канал распространения вирусов – это тот канал, по которому интенсивнее всего передается необходимая информация. Что это за информация: игры или необходимые программы – вирусу все равно. Поэтому на Западе основной путь распространения вирусов – это Интернет. У нас, по всей видимости, один из основных каналов – это многочисленные «пиратские» CD-диски.

Не имеет смысла приводить статистику появления зараженных дисков на «черном» рынке. Поверьте, зараженные «пиратские» диски совсем не редкость. Встречаются даже неприятные казусы. Так, на одном из прошлогодних «пиратских» сборников собрано 4 новейшие антивирусные программы. В том числе и AntiViral ToolKit PRO v.3.0.120 (AVP). Это именно та версия, которая раньше большинства других известных пакетов могла определить наличие вируса Win95.CIH. Тем не менее, на этом же диске одна из полезных программ заражена именно вирусом Win95.CIH. Канал распространения вирусов через CD-диски имеет еще одну неприятную особенность. Это не только среда распространения, но и среда надежного хранения вирусов!

Думаю, что наученные горьким опытом, мы теперь будем более тщательно относиться к защите от вирусов (повторюсь, не только к защите от Win95.CIH). Тем не менее, всегда будет существовать риск «поймать» новый вирус, с которым «не справятся» антивирусные средства. Поэтому очень важно представлять как, где и какими силами можно восстановить информацию на жестком диске. Тем более, что информация на жестком диске может быть потеряна и по независящим от наличия вирусов причинам (ошибочное удаление файла или форматирование диска, выключение компьютера или пропадание сети в момент, когда были открыты файлы и т.п.).

Давайте вместе подумаем что нужно делать, чтобы в случае аварии можно было рассчитывать на восстановление информации.

Как хранится информация

Для начала вспомним, каким образом на жестком диске хранятся файлы. Все полезное пространство диска делится на кластеры. Кластер – это несколько секторов жесткого диска; причем для хранения файла нельзя выделить часть кластера. Даже если файл занимает только один байт, для его хранения выделяется кластер целиком. Вначале все файлы записываются последовательно. Каждый файл занимает необходимое количество кластеров, которые следуют друг за другом. Однако, если какой-либо файл стирается, то в непрерывной последовательности занятых кластеров образуется свободное место. На это место система может записать очередной файл. Если же свободного непрерывного места для записи не хватает, то система записывает файл частями, в нескольких свободных местах. Такие файлы называются фрагментированными.

Чтобы можно было определить в каких конкретно кластерах размещается каждый файл, в начале диска создается таблица размещения файлов – File Allocation Table, FAT. Операционная система создает две копии такой таблицы (одна – резервная). Если файл удаляется, то физически он не уничтожается на диске. В каталоге изменяется первый символ записи, которая соответствует данному файлу. Вся остальная информация, в том числе и номер первого из принадлежащих этому файлу кластеру, остается. Кроме того, в FAT освобождаются кластеры, выделенные данному файлу.

Как восстановить информацию

Поскольку при удалении файла он не уничтожается физически с диска, то его можно восстановить. Равно как и восстановить все файлы в случае, например, случайного форматирования диска. Если таблица размещения файлов FAT цела, то можно легко найти первый кластер, принадлежащий файлу. Однако, остальные кластеры могут лежать где угодно на диске. Для восстановления файла необходимо не только найти все принадлежащие файлу кластеры, но и правильно определить прядок их следования.

Эта задача очень весьма непроста и почти не поддается алгоритмизации. Соответственно, нет и надежных средств, автоматически восстанавливающих удаленные файлы. Имеющиеся средства предназначены в основном для восстановления отдельных файлов, удаленных ошибочно. Наиболее широко используется, наверно, утилита UnErase из комплекта Norton Utilities. Эта утилита уверенно восстанавливает файлы, если фрагментация отсутствует. Если последовательно расположенные кластеры свободны, то они с большой вероятностью принадлежат одному удаленному файлу. При отсутствии фрагментации – так и есть на самом деле. Если файл фрагментирован, то ему назначается требуемое количество близлежащих свободных кластеров. Примерно так операционная система назначает кластеры файлу при его создании.

Однако, это не всегда соответствует истине. Поэтому при наличии фрагментации утилиты автоматического восстановления файлов могут восстановить файл неправильно. Если удалено много файлов или, как в случае воздействия вируса Win95.CIH, полностью удалена FAT, то утилиты оказываются бесполезны. Самое страшное, что, если была предпринята попытка восстановления файла, и эта попытка оказалась неудачной, то, скорее всего, файл уже восстановить нельзя. Утилита восстановления внесла свои исправления в FAT и каталог.

Существуют и более мощные профессиональные утилиты восстановления информации. В частности, набор утилит TIRAMISU (http://www.recovery.de). Это – несколько утилит для восстановления информации на дисках с FAT16, FAT32, NOVELL, NTFS. Утилиты коммерческие. Стоят от 95 до 650 USD каждая. Защита от несанкционированного использования в них осуществляется с помощью ключевой дискеты. По Киеву «ходит» несколько таких ключевых дискет, благо технология копирования ключевых дискет у нас хорошо освоена. Эти утилиты позволяют сохранять восстанавливаемые файлы на другом диске. Поэтому ею можно пользоваться, не боясь безвозвратно потерять информацию. Тем не менее, если диск сильно фрагментирован, то и эта утилита часто не в состоянии восстановить информацию (по крайней мере, это относится к тому случаю, когда полностью уничтожены обе копии FAT).

В процессе восстановления информации на дисках, пораженных вирусом Win95.CIH, в сервисном центре «ЕПОС» испытывались возможности утилиты TIRAMISU. Утилита уверенно справлялась с задачей во многих случаях, когда фрагментация диска была не очень значительна. Однако, с помощью данной утилиты не удалось восстановить ни одного диска из тех, что поступили от бухгалтерий предприятий. Тем более невозможно было восстановить информацию на таких дисках с помощью Нортоновских утилит. В бухгалтерии любого предприятия осуществляется интенсивная работа с базами данных, чаще все с использованием программ, написанных на FoxPro. В этом случае в процессе работы создается много временных файлов. Файлы баз данных постоянно модифицируются. Поэтому на бухгалтерских машинах фрагментация файлов возникает за очень короткое время работы и развивается очень быстро.

Можно ли самому восстановить информацию?

Безусловно, в несложных случаях это возможно. Случайно уничтоженные файлы восстанавливаются распространенными утилитами обычно без проблем. Это могут делать даже слабо подготовленные пользователи – «чайники». Но достаточно серьезные знания файловой системы и некоторые навыки все же необходимы. Главное – хорошо представлять возможные последствия своих действий.

Как же восстанавливается информация в сложных случаях? Полную технологию восстановления, естественно, невозможно изложить в кратком объеме нашей статьи. Основывается она на использовании специального технологического оборудования и программ, на рутинном ручном труде и требует большого опыта и постоянных исследований. В тяжелых случаях практически единственным методом остается анализ содержимого жесткого диска и логическое сопоставление последовательности кластеров, которые могут принадлежать тому или иному файлу. Не пытайтесь делать это сами! Такая работа требует большого опыта и хороших знаний всех особенностей файловой системы.

Даже в условиях сервисного центра, имеющего необходимое оборудование и опытный персонал, полностью и без задержек восстанавливается примерно 92% дисков. Остальные считаются «проблемными». Под «проблемными» мы понимаем диски, восстановление информации на которых возможно (иногда, правда, не в полном объеме), но требует дополнительных временных затрат. В 9 случаях из 10 в число «проблемных» попали диски, на которых делались попытки восстановления информации силами самого пользователя. Восстановление информации на таких дисках требует много времени и обходится владельцу компьютера значительно дороже. Остальные «проблемные» диски – это те, у которых очень сильная фрагментация, существуют много потерянных и перепутанных цепочек кластеров и множество других дефектов.

Какие же выводы можно сделать из этих фактов?

Выводы

Главный вывод: о своем компьютере нужно заботиться не меньше, чем о любимой собаке или кошке. Регулярно (до того, как случилось несчастье, а ни в коем случае не после!) необходимо проверять состояние диска встроенной утилитой ScanDisk («проверка диска» в русифицированной версии Windows 95). Чаще проводить дефрагментацию жесткого диска. Проверять компьютер на наличие вирусов. Лучше поставить автоматическую защиту (например, Norton AntiVirus или AntiViral ToolKit). Позаботьтесь также, чтобы для любимого компьютера всегда была самая свежая версия антивирусной программы. Не устанавливайте программы сомнительного происхождения. Выключайте компьютер только через «завершение работы» в меню «пуск». Делайте резервные копии того, что Вы не хотите потерять навсегда. Поверьте, почувствовав хорошее отношение к себе, компьютер в трудную минуту Вас не подведет. Даже если он и «погибнет» от какого-нибудь вируса, его можно будет вернуть к жизни.

Тем же, кто не желает заботиться о компьютере и при этом не хочет пострадать от компьютерных вирусов, есть только один совет. Продайте компьютер.


Поделиться информацией