Программа восстановления файлов Easy Recovery Pro

Easy Recovery Pro — входит в состав пакета комплексно­го Fix-It Utilities (прототипом является программа Tiramisu) и работает почти со всеми распространенными файловыми системами: FAT12, FAT16, FAT32, NTFS, Novell, стандар­тами ZIP- и JAZ-приводов, поддерживаются также SCSI жесткие диски.

. Программа Easy Recovery Pro дает возможность создать комплект загрузочных дискет с полноценной версией DOS — Easy Recovery. Т. е. в случае невозможности загру-зить Windows, а соответственно, и «виндовую» версию Easy Recovery, у вас всегда был бы доступ к HDD и вы могли бы восстанавливать файлы из MS-DOS.

Программа тщательно сканирует диск, отыскивая на нем остатки файлов, исследует поврежденный FAT и корневой директорий, корневую папку и загрузочный сектор. Если пользователь регулярно фрагментировал диск, шансы на восстановление потерянного файла увеличиваются.

Программа Easy Recovery Pro восстанавливает информа­цию на диске после повреждения его вирусами, формати­рования, переразбиения на разделы, порчи при скачках на­пряжения питания (если у вас нет блока бесперебойного питания). При работе под операционной системой Windows программа Easy Recovery Pro тоже реализует этот богатый набор возможностей, но только в том случае, если не по­вреждена сама ОС.

Для нормальной работы программы Easy Recovery Pro пользователь должен иметь второй винчестер, поскольку программа работает только на чтение с восстанавливаемого диска. Это вполне естественно, поскольку уменьшается риск порчи основного жесткого диска.

Программа Easy Recovery Pro может проводить тест дис­ка аналогичный тому, который производит программа Scan Disk. Дополнительным преимуществом перед другими про­граммами является то, что Easy Recovery Pro восстанавли­вает файлы, сохраняя их длинные имена.

Программа восстановления информации PowerQuest Lost&Found

Программа PowerQuest Lost& Found — прямой конкурент программе Easy Recovery Pro с ее возможностями и преиму­ществами. Однако эта программа работает только в ОС MS-DOS, что, однако искупается ее простым интерфейсом и диалоговым режимом типа «Мастер». Программа PowerQuest Lost& Found также записывает информацию на второй вспо­могательный диск, чтобы не допустить дополнительного ис­кажения восстанавливаемого жесткого диска. Правда, эта программа не поддерживает восстановление файлов с сис­темой NTFS. Но зато, если жесткий диск не виден из лю-

бой ОС, и более того, его не видит BIOS ПК, программа PowerQuest Lost& Found найдет контроллер и при исправной аппаратурной части HDD распознает винчестер.

Так что тем пользователям, которым не понравился (или которые плохо понимают) интерфейс, предложенный про­граммой PowerQuest Lost& Found, могут воспользоваться ути­литой PowerQuest Lost& Found с упрощенным диалоговым режимом «Мастером».

Хакеры также иногда являются причиной отаза в работе компьютера

Даже достаточно безобидный хакер может озадачить пользователя самым неожиданным образом. Мы приведем только один такой «безобидный» пример.

Программист решил использовать ввод пароля в своем приложении. При третьем неправильном вводе пароля про­грамма стирает файл (т. е. самое себя) из всех каталогов. Ясно, что при необузданной фантазии программиста послед­ствия для пользователя данного приложения могут быть са­мыми непредсказуемыми.

После компиляции (например, на языке C++) програм­мист получает исполняемый файл — «Password.exe». Имя этого файла вставляется в строку в файл «Autoexec. bat».

Снова о вирусах/Viruses — работа с антивирус­ными программами

Вирусы могут распространяться в разные времена с раз­личной скоростью. Говоря про файловые вирусы, необхо­димо отметить такую их черту, как скорость распростране­ния. Чем быстрее распространяется вирус, тем вероятнее возникновение эпидемии этого вируса. Чем медленнее рас­пространяется вирус, тем сложнее его обнаружить (если, ко­нечно, этот вирус пока неизвестен антивирусным програм­мам).

Понятия быстрого и медленного вируса (Fast infector, Slow infector) являются достаточно относительными и ис­пользуются только как характеристика вируса при его опи­сании.Нерезидентные вирусы часто являются медленными — большинство из них при запуске заражает один или два-три файла и не успевает заполнить компьютер до запуска анти­вирусной программы (или появления новой версии антиви­руса, настроенной на данный вирус). Существуют, конеч­но, нерезидентные быстрые вирусы, которые при запуске ищут и заражают все выполняемые файлы, однако такие ви­русы очень заметны: при запуске каждого зараженного фай­ла компьютер некоторое (иногда достаточно длительное) вре­мя активно работает с винчестером, что демаскирует вирус.

Скорость распространения резидентных вирусов обычно выше, чем у нерезидентных, они заражают файлы при ка­ких-либо обращениях к ним. В результате на диске оказы­ваются зараженными все или почти все файлы, которые по­стоянно используются в работе.

Скорость распространения резидентных файловых вирусов, заражающих файлы только при запуске на выполнение, бу­дет ниже, чем у вирусов, заражающих файлы и при их от­крытии, переименовании, изменении атрибутов файла и т. д.

Многие вирусы при создании своей копии в оперативной памяти компьютера пытаются занять область памяти с самы­ми старшими адресами, разрушая временную часть команд­ного интерпретатора C0MMAND.COM. По окончании ра­боты зараженной программы временная часть интерпретато­ра восстанавливается, при этом происходит открытие файла C0MMAND.COM и его заражение.

Таким образом, при запуске подобного вируса первым будет заражен файл C0MMAND.COM.

Внедрение вирусов в SYS-файлы

Вирусы, внедряющиеся в SYS-файл, приписывают свои коды к телу файла и модифицируют адреса программ стра­тегии (Strategy) и прерывания (Interrupt) заражаемого драй­вера (встречаются вирусы, изменяющие адрес только одной из программ).

При инициализации зараженного драйвера вирус перехва­тывает соответствующий запрос операционной системы, передает ее драйверу, ждет ответа на этот запрос, коррек­тирует его и остается в оперативной памяти вместе с драй­вером в одном блоке памяти. Такой вирус может быть чрез-

вычайно опасным и живучим, так как внедряется в ОЗУ при загрузке DOS раньше любой антивирусной программы, если она, конечно, тоже не является драйвером.

TSR (резидентные) вирусы

DOS предусматривает единственный способ создания ре­зидентных (TSR) модулей — при помощи функции KEEP (int21h или int27h). Многие файловые вирусы для маскиров­ки своего распространения используют другой способ, об­рабатывая системные области, управляющие распределени­ем памяти, выделяют для себя свободный участок памяти, помечают его как занятый и переписывают туда свою копию.

Некоторые вирусы внедряют свои TSR-копии в свободные участки памяти в таблице секторов прерываний, в рабочие об­ласти DOS, в память, отведенную под системные буферы.

Известны два способа проверки резидентным вирусом на­личия своей копии в памяти ПК:

• Первый заключается в том, что вирус вводит новую функцию некоторого прерывания, действие которой заключается в возврате значения «я здесь». При стар­те вирус обращается к ней и, если возвращенное зна­чение совпадает со значением «я здесь», то память ПК уже заражена и повторное заражение не производит­ся.

• При проверке вторым способом вирус просто скопи­рует память ПК.

Оба способа могут в той или иной мере сочетаться друг с другом.