ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




Архив статей


03.05.2000
Ох, уж эти грабли!

Вячеслав ОВСЯННИКОВ
ведущий специалист фирмы «ЕПОС»

Только бледнолицый может
дважды наступить на грабли.

Народный ЕПОС

 

Ну вот и дождались мы очередного 26 апреля.

Компьютерный мир волнуется 26 апреля не в первый раз. Самый громкий «взрыв» прозвучал год назад. Причина – вирус под названием WIN95.CIH. Но научились ли мы чему-либо за прошедший год?

Рис. 1. Не иссякает поток пострадавших от WinCIH

Сначала немного статистики. На рис. 2 приведен график поступления жестких дисков, пострадавших от CIH, за первые три дня после активизации этого вируса в прошлом и нынешнем года. Как и год назад, 26 числа в сервисном центре «ЕПОС» очередь пострадавших образовалась с 9 часов утра. В первый день желающих восстановить утраченную информацию было больше, а в последующие два дня обращений было меньше, чем в прошлом году.

Рис. 2. Статистика поступивших в сервисный центр жестких дисков

На графике не приведены данные по восстановлению BIOS. Обращений по этому поводу было меньше, чем в прошлом году. Вирус CIH разрабатывался на компьютере с материнской платой на чипсете 430ТХ и поэтому квалифицированно портит BIOS именно таких материнских плат. Подобных плат в составе компьютеров за год стало значительно меньше. CIH, можно сказать, морально стареет.

Что же касается жестких дисков, то их поступило не намного меньше, чем в прошлом апреле! Создается впечатление, что повторное пробуждение вируса в этом году оказалось для многих не меньшей неожиданностью, чем предыдущее.

Рис. 3. Винчестеры и компьютеры, пораженные WinCIH

Что изменилось?

Создается ощущение, что многочисленные публикации на тему вирусов способствуют повышению теоретической подготовки пользователей, но совсем незначительно стимулируют практические меры предосторожности. О эта загадочная славянская душа!

Впрочем, изменения все же есть. Теперь пострадавшим по опыту известно, где можно восстановить информацию. Возможно, поэтому у самых беспечных возникает мысль: «Зачем весь год тратить время на профилактику, если можно один раз в год принести заболевший диск в "ЕПОС"?»

Тем не менее предлагаю читателю не очередные вирусологические штудии, а анализ некоторых явлений реальной жизни и их последствий.

Вирусы как таковые

Компьютерный «вирус» – это, безусловно, не что иное как программа. С биологическими вирусами эту программу роднят ее особенности: способность к «размножению» и способность к неконтролируемому распространению. Заметим: нанесение вреда не есть отличительная особенность вируса. В биосфере существуют полчища вирусов, которые размножаются и распространяются, но не приносят никакого вреда. Точно так же подавляющее количество компьютерных вирусов не имеет деструктивных функций. Головную боль нам обеспечивает очень небольшое количество компьютерных вирусов, и один из них – WIN95.CIH.

Для существования как биологических, так и компьютерных вирусов необходимо наличие среды существования и среды распространения.

Среда существования компьютерных вирусов – это сам компьютер с его жестко стандартизированной архитектурой. В данном случае мы ничего не можем изменить, разве что отказаться от применения компьютеров.

Среда распространения компьютерных вирусов – каналы, по которым распространяется информация. Что это за информация, с точки зрения вирусологии не имеет ровным счетом никакого значения. Поэтому вызывают недоумение периодически вспыхивающие споры о том, какова преобладающая причина появления в компьютере вирусов. Наиболее часто в числе основных каналов распространения вирусов называют: игры, пиратские диски, интернет, электронную почту и дискеты.

Хочу примирить «сторонников» любого из перечисленных способов. Правы все. Правы настолько, что на практике такая правота не имеет никакой ценности. Вирусы не могут быть закреплены за тем или иным каналом. Они не обитают сами по себе в телефонных проводах, связывающих вас с провайдером. Они распространяются вместе с информацией. Под информацией же подразумеваются не только исполняемые файлы (в том числе игровые), но и документы Word, и таблицы Excel, и даже html-файлы. Поэтому для вас лично наиболее опасен тот канал, который является самым нужным для обмена информацией. На домашний компьютер, скорее всего, вирус принесет ваш ребенок вместе с новой игрушкой. Фирма, в деятельности которой значительную роль играет интернет, получит порцию вирусов через всемирную сеть. Те сотрудники, которые не имеют доступа в интернет, примут свои вирусы по электронной почте. Единственное, о чем не приходилось слышать, так это о вирусах, распространяемых по факсу.

Особо заострить внимание следует, пожалуй, разве что на пиратских дисках. Не только потому, что с них мы получаем, согласно статистике, наибольше количество вирусов. Но еще и потому, что такие диски – среда не только распространения, но и «надежного» сохранения вирусов. После того как мы вылечим ваш диск, пострадавший от действий вируса, вы первым делом заново установите все самые нужные и любимые программы с пиратского компакта. А если одна из этих программ заражена? По крайней мере, никакое иное объяснение я не могу предложить тому, что среди обратившихся к нам в 2000 г. есть значительная доля тех, кто приходил в «ЕПОС» в 1999 г. Так и хочется назвать их «рецидивистами», да простят меня те, кто себя узнал. Честное слово, это я не со зла.

Почему CIH такой вредный

Характер у CIH ничем не хуже (впрочем, и не лучше), чем у множества других вирусов. Особенностей у него две. Первая – он разрушает информацию, поэтому у владельцев компьютеров к нему особые счеты. Вторая и главная особенность состоит в том, что деструктивные свойства CIH проявляются в определенный день. От этого звук «взрыва» и шум массовой паники намного громче обычного.

На самом деле специалисты по восстановлению информации ежедневно сталкиваются с последствиями того или иного вируса, причем в некоторых случаях восстановить информацию бывает сложнее, чем после злополучного CIH. Но другие вирусы не вызывают сильного резонанса, поскольку каждый раз затрагивают единичных пользователей и тем, бедным, не у кого найти сочувствие своему несчастью.

Как уберечься от вирусов

Эта тема стала уже почти философской. Советов, как уберечься от компьютерных вирусов, намного больше, чем нормальный человек может запомнить. К сожалению, в большинстве своем эти советы налагают те или иные ограничения в использовании компьютера. Но позвольте! Компьютер, если уж мы решились на покупку такового, – вещь далеко не дешевая. Так почему же мы должны использовать только часть его возможностей? Иногда дело и вовсе доходит до абсурда. Как-то раз, отправив по электронной почте коммерческое предложение, в ответ мы услышали по телефону просьбу продиктовать содержание почтового сообщения. На вопрос: «Разве вы не получили почту?» – был получен интересный ответ: «Почту мы получили, но системный администратор не разрешает просматривать сообщения, чтобы не заразиться вирусом». Узнаете интонацию? Прямо-таки каникулы в Простоквашино...

Скорее вредят общему делу борьбы с вирусами и убежденные сторонники того, что один из каналов распространения вирусов является преобладающим. Особенно воинствующую позицию занимают противники игрушек. При известии, что в каком-либо компьютере появился вирус, они безапелляционно заявляют: «Это, мол, все из-за игрушек». Проблема игрушек на рабочем месте, разумеется, существует и достаточно серьезна. Но с проблемой вирусов она имеет мало общего. А любое подобное предубеждение не приносит ничего, кроме вреда, так как уводит в сторону от анализа объективных причин появления вирусов.

Цивилизованные методы защиты от вирусов не предполагают никаких ограничений на работу с компьютером. Проблема решается посредством использования антивирусных программ. Известно достаточное количество надежных средств на любой вкус, например, AVP Касперского или NAV – антивирус Norton. Эти средства разработаны в различных модификациях. Так, средства «индивидуальной защиты», предназначенные для установки на отдельные компьютеры, обеспечивают надежную защиту при незначительной стоимости. Например, лицензионный («честный», если хотите) AVP GOLD OEM, обеспечивающий надежную защиту в течение нескольких месяцев, можно приобрести за 2$. Двухгодичная подписка стоит 49 долларов. 49 долларов за два года надежной защиты от вирусов – разве это так уж много? Более мощные версии обеспечивают защиту файлов на сервере и электронной почты в масштабах всего предприятия.

Почему люди не пользуются антивирусами

Этот вопрос мучает меня постоянно, но ответа я не нашел. Быть может, кто-нибудь из читателей подскажет?

Как восстановить информацию

В большинстве случаев это не так уж и сложно, по крайней мере, для людей компетентных. Исходные предпосылки просты. Жесткий диск разбит на секторы объемом 512 байт. Несколько секторов объединяются в кластер. Для каждого файла выделяются один или несколько кластеров. В таблице расположения файлов (FAT) указывается, какие кластеры, сколько и в каком порядке отведены для конкретного файла. Известны средства работы как с таблицами, так и с секторами и файлами, – например, те же Norton Utilities. Если вы случайно стерли нужный файл, то с их помощью сможете восстановить его самостоятельно, даже если у вас нет никакого предыдущего опыта. Интерфейс современных средств восстановления полностью доступен для понимания.

Если отсутствуют необходимые таблицы (именно этого эффекта, собственно, и пытается добиться CIH), это очень редко означает, что уничтожены и сами файлы на диске. Следовательно, в этой ситуации информацию можно восстановить. С другой стороны, попытайтесь представить себе масштабы такой работы. Фрагменты различных файлов оказались на вашем диске в совершенном беспорядке. Для каждого файла необходимо найти верный порядок следования кластеров. Эта задача по сложности сравнима с кубиком Рубика. Кто из читающих данную статью самостоятельно, без инструкций сложил эту головоломку? Те, кому это удалось, – вспомните, сколько времени вы затратили. Существуют при восстановлении информации и определенные тонкости. Главные требования для такой работы – опыт и наличие необходимых инструментов.

Если у вас есть такой опыт, то вы, скорее всего, постоянно и профессионально занимаетесь восстановлением информации. Если же опыта нет, не пренебрегайте советом: не стоит учиться на собственном жестком диске, если вы не хотите рисковать нужными данными.

Мы постоянно обращаем внимание владельцев компьютеров на то, что неквалифицированное обращение с таким тонким устройством, как жесткий диск, может привести к невозможности восстановления информации. Но, может быть, слишком неубедительно мы просим их пробовать свои силы на чем-нибудь другом, малоценном? Иначе почему в этом году десятая часть поступивших в сервисный центр дисков носила явные следы неквалифицированного вмешательства? На некоторых таких дисках информация оказалась потеряна безвозвратно.

Господа!

Грабли, в отличие от нас с вами, не обладают интеллектом. В них, в отличие от компьютеров, нет электроники, которая может отказать. Поэтому грабли воздействуют на бледнолицых абсолютно одинаково – в первый раз, во второй и в любой последующий.


Поделиться информацией