home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2001 October / Chip_2001-10_cd1.bin / servis / viry.cz / slovnik.php

< prev

next >

Wrap

Text File  |  2001-06-20  |  40KB  |  750 lines

---

1. <HTML>
2.  
3. <HEAD>
4.  <TITLE>Slovnφk pojm∙</TITLE>
5.  <meta http-equiv="Content-Type" content="text/html; charset=windows-1250">
6.  <META NAME="Author" CONTENT="Igor Hak">
7.  <META NAME="Description" CONTENT="Vse o virech.">
8.  <META NAME="KeyWords" CONTENT="vir viry virus antivir antiviry antivirus">
9. </HEAD>
10.  
11. <BODY BACKGROUND="tapeta.gif">
12.  
13. <?
14. include "hlavicka.inc";
15. ?>
16.  
17. <FONT SIZE="2" face="verdana,arial">
18.  
19.  <CENTER><IMG SRC="logo-slovnik_pojmu.gif" ALT="Slovnφk pojm∙"></CENTER>
20. <BR>
21.  
22. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni2.html" TARGET=window2>Adresß°ovΘ viry - Cluster viruses</A></B><BR>
23. <BR>
24.  
25. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Assembler</B><BR>
26.     Programovacφ jazyk nejni₧Üφ ·rovn∞. Program je zapisovßn p°φmo pomocφ instrukcφ
27.  procesoru (jejich zkratek) a m∙₧e tak maximßln∞ vyu₧φt vlastnostφ poΦφtaΦe. P°evß₧nß
28.  v∞tÜina poΦφtaΦov²ch vir∙ je vytvo°ena prßv∞ v tomto jazyce. Termφn assembler takΘ oznaΦuje
29.  p°ekladaΦ zmφn∞nΘho jazyka do k≤du proveditelnΘho procesorem. S p°φchodem OS Windows 9x/2000/NT se
30. ke slovu dostßvajφ i vyÜÜφ programovacφ jazyky (C++, Delphi, Visual Basic atd.).
31. <BR><BR>
32.  
33. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Autoexec.bat - soubor</B><BR>
34.     Textov² soubor obsahujφcφ seznam p°φkaz∙, kterΘ operaΦnφ systΘm provede automaticky
35.  p°i svΘm startu. Lze jej mimo jinΘ vyu₧φt k automatickΘmu spouÜt∞nφ antivirovΘ kontroly,
36.  stejn∞ jako k automatickΘmu zavirovßnφ poΦφtaΦe hned po startu (v p°φpad∞ napadenφ programu,
37.  kter² je z tohoto souboru spuÜt∞n).
38. <BR><BR>
39.  
40. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>BIOS - "Basic Input Output System"</B><BR>
41. Pod operaΦnφm systΘmem (MS-DOS, Windows 95, Windows NT) se nachßzφ jeÜt∞ jedna vrstva
42.  program∙ tvo°φcφch tzv. BIOS. Tyto programy jsou tak d∙le₧itΘ, ₧e jsou ulo₧eny v pam∞ti ROM.
43.  BIOS transformuje po₧adavky od program∙ na sekvence pro °φzenφ hardwaru (disky, tiskßrny,
44.  monitory...).
45. <BR><BR>
46.  
47. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni2.html" TARGET=window2>Boot viry - Boot viruses</A></B><BR>
48. <BR>
49.  
50. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>CARO (Computer Anti-Virus Researchers Organisation)</B><BR>
51. Organizace CARO vznikla v roce 1991 a zalo₧ili ji pßnovΘ Fridrik Skulason (Virus Bulletin, Alan Solomon
52.  (S&S International) a Vesselin Bontchev (Univerzita v Hanburgu). Rozhodly se toti₧, ₧e pojmenovßnφ nov²ch vir∙
53.  bude mφt jistß pravidla. Zßkladnφ pojmenovßnφ by m∞lo vypadat takto:<BR>
54. <PRE>
55. Family_Name.Group_Name.Major_Variant.Minor_Variant[:Modifier]
56. </PRE>
57. Musejφ b²t pou₧φvany pouze alfanumerickΘ znaky [A-Za-z0-9_$%&!'`#-], mezery se majφ vytvß°et podtr₧φtkem (_). Nap°.: Dark_Avenger. JednotlivΘ Φßsti pojmenovßnφ viru musφ b²t dlouhΘ maximßln∞ 20 znak∙. Nesmφ b²t pou₧φvßny nßzvy firem, jmΘna atd..... 
58. Nejblφ₧e k pojmenovßnφ CARO mß jednoznaΦn∞ antivirus F-Prot, na druhΘm konci pak stojφ PC-Cillin.
59. <BR><BR>
60.  
61. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/v_file.html" TARGET=window2>Cavity viruses - MezerovΘ viry</A></B><BR>
62. <BR>
63.  
64. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni2.html" TARGET=window2>Cluster viruses - Adresß°ovΘ viry</A></B><BR>
65. <BR>
66.  
67. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>CMOS</B><BR>
68.     Pam∞t CMOS obsahuje velmi d∙le₧itΘ informace o periferiφch a Φßstech poΦφtaΦe. Jejφ
69.  obsah je zßlohovßn bateriφ. Virus m∙₧e ·daje v tΘto pam∞ti poÜkodit a tak znemo₧nit start poΦφtaΦe.
70. Nßprava je velice jednoduchß, PC v takovΘm p°φpad∞ vypφÜe n∞co ve smyslu "CMOS checksum error".
71. P°esto je umo₧n∞n vstup do setupu biosu, kde staΦφ nap°. obnovit a ulo₧it defaultnφ hodnoty. Po
72. dalÜφm restartu PC bude ji₧ vÜe v po°ßdku.
73. <BR><BR>
74.  
75. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni2.html" TARGET=window2>Companion viruses - DoprovodnΘ viry</A></B><BR>
76. <BR>
77.  
78. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Config.sys - soubor</B><BR>
79.     Textov² soubor obsahujφcφ konfiguraΦnφ pokyny pro operaΦnφ systΘm. Zde se takΘ nachßzejφ
80.  p°φkazy pro zavßd∞nφ pot°ebn²ch ovladaΦ∙. Config.sys mß podobn² ·Φel jako Autoexec.bat,
81.  kter² se vÜak zavßdφ po startu poΦφtaΦe pozd∞ji.
82. <BR><BR>
83.  
84. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>CRC - kontrolnφ souΦet</B><BR>
85.     ╚φselnß hodnota vypoΦφtanß podle danΘho algoritmu na zßklad∞ obsahu souboru (p°φpadn∞
86.  libovoln²ch dat). P°φpadnß zm∞na v²chozφch dat se projevφ jin²m v²sledkem kontrolnφho souΦtu.
87.  Ve svΘ p∙vodnφ podob∞ se jednß o prost² souΦet vÜech bajt∙ souboru; tΘm∞° vÜechny programy
88.  vÜak pou₧φvajφ nejr∙zn∞jÜφ modifikace tohoto algoritmu s cφlem zv²Üit spolehlivost a snφ₧it
89.  napodobitelnost tohoto souΦtu. Kontrolnφ souΦty b²vajφ pou₧φvßny pro p°esnou identifikaci
90.  viru a jsou tΘ₧ d∙le₧itou souΦßstφ kontroly integrity.
91. <BR><BR>
92.  
93. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/v_dete.html" TARGET=window2>CRC checker - Integrity checker - Kontrola integrity</A></B><BR>
94. <BR>
95.  
96. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni.html" TARGET=window2>╚ervi - Worms</A></B><BR>
97. <BR>
98.  
99. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Debugger</B><BR>
100.     Ladφcφ prost°edek (program) urΦen² k vyhledßvßnφ chyb p°i v²voji programu. Umo₧≥uje mimo
101.  jinΘ sledovat vykonßvßnφ programu po jednotliv²ch instrukcφch, co₧ jej Φinφ neoceniteln²m
102.  pomocnφkem p°i anal²ze poΦφtaΦov²ch vir∙. Mnoho vir∙ (p°esn∞ji jejich autor∙) je si tΘto
103.  slabiny v∞domo, proto pou₧φvajφ programovΘ konstrukce, kterΘ majφ takovΘ sledovßnφ
104.  (trasovßnφ) programu zkomplikovat.
105. <BR><BR>
106.  
107. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Dekryptor</B><BR>
108.     ┌sek k≤du viru, kter² zajiÜ¥uje p°evedenφ zak≤dovanΘ Φßsti viru do p∙vodnφ, spustitelnΘ
109.  podoby. NejΦast∞ji se vyskytuje na zaΦßtku viru. M∙₧e, ale nemusφ mφt konstantnφ podobu v
110.  r∙zn²ch generacφch tΘho₧ viru.
111. <BR><BR>
112.  
113. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni2.html" TARGET=window2>DoprovodnΘ viry - Companion viruses</A></B><BR>
114. <BR>
115.  
116. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Dropper</B><BR>
117. Dropper je program, kter² byl navr₧en s cφlem instalovat virus do systΘmu. PodstatnΘ je, ₧e virus je v tomto
118.  programu obsa₧en tak, ₧e nem∙₧e b²t detekovßn virov²mi skenery. Jin²mi slovy, dropper nenφ program infikovan²
119.  virem a velmi Φasto jsou jako droppery pou₧φvßny trojskΘ kon∞. Dropper m∙₧e svou funkci splnit tφm, ₧e virus
120.  instaluje do pam∞ti a nebo p°φmo infikuje n∞jakou proveditelnou jednotku p°i instalaci viru.
121. <BR><BR>
122.  
123. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>EICAR (European Institute for Computer Anti-virus Research) a jejich "Standard Anti-Virus Test File"</B><BR>
124. Na nßsledujφcφ sekvenci znak∙ (68 bajt∙) se dohodlo p°ed jistou dobou n∞kolik antivirov²ch firem. V dneÜnφ dob∞ dokß₧ou tuto sekvenci
125. znak∙ vyhledat prakticky vÜechny rozumnΘ antivirovΘ programy. O co jde ? AntivirovΘ programy detekujφ tuto sekvenci znak∙ podobn∞, jako by Ülo
126. o skuteΦn² virus (ve skuteΦnosti je to zcela neÜkodn², spustiteln² program). Mß to v²znam hlavn∞ v situaci, kdy si chce u₧ivatel ov∞°it, zda je jeho
127. antivirus opravdu schopen detekovat v systΘmu viry. V n∞kter²ch p°φpadech se toti₧ m∙₧e stßt, ₧e i kdy₧ se antivirus tvß°φ jako zcela funkΦnφ, ve skuteΦnosti
128. je zcela nefunkΦnφ - nenφ schopen detekovat viry (p°φΦinou m∙₧e b²t nap°. kolize s jin²m antivirem v pam∞ti apod.). Pokud tedy nßsledujφcφ sekvenci znak∙ vlo₧φte do souboru
129. s p°φponou COM (nap°. EICAR.COM) a VßÜ antivirus na n∞m zaΦne "°vßt" podobn∞, jako by Ülo o skuteΦn² virus, je vÜe v po°ßdku.
130. Pokud antivirus mlΦφ, m∙₧e jφt o v²Üe uveden² stav (kolize s jin²m programem v pam∞ti apod.) a vy nejste dokonale chrßn∞ny p°ed ·tokem vir∙ !!!
131. Nßsleduje zmi≥ovanß sekvence znak∙ (pokud ji nechtete vklßdat do souboru, vyu₧ijte ji₧ hotov² <a href="download/eicar.com">EICAR.COM</a>). JeÜt∞ jedna d∙le₧itß informace na zßv∞r:
132. NEJDE O SKUTE╚N▌ VIRUS, SEKVENCE JE ZCELA NEèKODN┴ A LZE JI BEZ OBAV SPUSTIT (pokud se nachßzφ v souboru s p°φponou COM Φi EXE) !!!<BR>
133. <PRE>
134.  X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
135. </PRE>
136. <BR><BR>
137.  
138. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Emulace k≤du</B><BR>
139.  
140.     Postup, p°i kterΘm nejsou jednotlivΘ instrukce programu provßd∞ny p°φmo procesorem, ale
141.  jsou zpracovnßvßny specißlnφm programem. Takto lze krom∞ jinΘho velmi bezpeΦn∞ sledovat
142.  provßd∞nφ k≤du a jeho vliv na poΦφtaΦ (s mo₧nostφ zabrßnit nebo zm∞nit provedenφ nevhodnΘ
143.  instrukce); toto nebezpeΦφ je ovÜem vykoupeno pom∞rn∞ znaΦn²m zpomalenφm takto emulovanΘho
144.  k≤du oproti p°irozenΘmu zpracovßnφ procesorem. Vφce o tomto m∙₧ete najφt <a href="kniha_o_virech/skener-detail.html" target=window2>zde</a>
145. <BR><BR>
146.  
147. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>FaleÜn² poplach</B><BR>
148.     Situace, kdy antivirov² program oznaΦφ zdrav² soubor Φi jinou oblast za napadenou virem.
149.  K tomu m∙₧e dojφt dφky nßhodnΘ podobnosti k≤du neÜkodnΘho programu s Φßstφ skuteΦnΘho viru;
150.  faleÜnΘ poplachy se vyskytujφ nap°φklad u program∙, kterΘ se nechovajφ (obdobn∞ jako viry)
151.  k systΘmu zcela korektn∞. Rozhodnutφ o tom, zda je soubor skuteΦn∞ napaden, nebo se jednß
152.  o faleÜn² poplach je nejlΘpe p°enechat odbornφk∙m. P°φliÜ vysokΘ procento faleÜn²ch poplach∙
153.  m∙₧e jinak ·Φinn² antivir znehodnotit.
154. <BR><BR>
155.  
156. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>FAT (File Allocation Table)</B><BR>
157. Viz. kapitola "Disk a vÜe o n∞m" (dole ve slovnφku).<BR>
158. <BR>
159.  
160. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni2.html" TARGET=window2>File viruses - SouborovΘ viry</A></B><BR>
161. <BR>
162.  
163. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Fronta instrukcφ procesoru (prefetch queue)</B><BR>
164.     V dob∞ vykonßvßnφ jednΘ instrukce procesorem je n∞kolik nßsledujφcφch instrukcφ ji₧ naΦteno v procesoru,
165.  kde Φekajφ ve "front∞" na svΘ dokonΦenφ. Zm∞na t∞chto instrukcφ v operaΦnφ pam∞ti ji₧ nemß na jejich provßd∞nφ vliv,
166.  co₧ m∙₧e zp∙sobit na pohled nepochopitelnΘ chovßnφ programu. DΘlka tΘto fronty instrukcφ (tj. poΦet a velikost
167.  instrukcφ, kterΘ jsou v tΘto front∞ ulo₧eny) se u r∙zn²ch typ∙ procesor∙ liÜφ.
168. <BR><BR>
169.  
170. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni2.html" TARGET=window2>GenerickΘ viry - Generic viruses</A></B><BR>
171. <BR>
172.  
173. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Germ virus</B><BR>
174. Jako germ virus se oznaΦuje virus ve svΘ nultΘ generaci. Germ virus vznikß nap°φklad po jeho kompilaci ze
175.  zdrojovΘho k≤du (ASM) do spustitelnΘho tvaru (COM,EXE) (po vylΘΦenφ mß soubor dΘlku 0). Germem je t°eba i
176.  t°φbajtov² COM soubor napaden² virem testujφcφm dΘlku svΘ ob∞ti a kter² se normßln∞ takto krßtk²m soubor∙m
177.  vyh²bß. Obdobn∞ m∙₧e b²t germem i COM virus p°elo₧en² ze zdrojßku do EXE tvaru. Zde je to vÜak technicky
178.  dost obtφ₧nΘ odliÜit, zda se jednß o Dropper Φi Germ.
179. <BR><BR>
180.  
181. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Hoax</B><BR>
182. Hoax je emailovß zprßva, kterß v∞tÜinou upozor≥uje na velmi nebezpeΦnΘ, ve skuteΦnosti
183. neexistujφcφ viry. NezkuÜen² u₧ivatel poÜle tuto zprßvu dalÜφm lidem, aby je upozornil
184. p°ed nebezpeΦφm (kterΘ ve skuteΦnosti neexistuje...). Je opravdu hroznΘ, ₧e se hoax n∞kdy
185. Üφ°φ rychleji ne₧ skuteΦn² virus...
186. <BR><BR>
187.  
188. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Identifikace viru</B><BR>
189.     Identifikacφ viru se v∞tÜinou rozumφ spolehlivΘ rozpoznßnφ viru vΦetn∞ jeho p°esnΘho urΦenφ. Takovßto
190.  p°esnß identifikace mß v²znam pro u₧ivatele, kter² m∙₧e lΘpe zjistit na Φem je, tak pro vlastnφ antivir, kter²
191.  m∙₧e pom∞rn∞ bezpeΦn∞ provßd∞t dalÜφ akce, jako je nap°φklad lΘΦenφ.
192. <BR><BR>
193.  
194. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni.html" TARGET=window2>Infiltrace</A></B><BR>
195. <BR>
196.  
197. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Instrukce</B><BR>
198. Instrukce jsou elementßrnφ p°φkazy pro prßci procesoru.
199. <BR><BR>
200.  
201. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/v_dete.html" TARGET=window2>Integrity checker - Kontrola integrity - CRC checker</A></B><BR>
202. <BR>
203.  
204. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Intended virus</B><BR>
205. Obvykle jsou takto oznaΦovßny viry, kterΘ by m∞ly d∞lat n∞co, co ve skuteΦnosti d∞lajφ Üpatn∞, nebo v∙bec. 
206. M∙₧ou za to samotnφ auto°i vir∙, kte°φ se Φasto sna₧φ vytvo°it n∞co, na co nemajφ.
207.  
208. <br><br>
209.  
210.  <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>In the Wild (ItW) - "viry v divoΦin∞"</B><BR>
211. Seznam In the Wild vytvß°φ asi 46 specialist∙ z celΘho sv∞ta. Do tohoto seznamu jsou
212.  zapisovßny viry, kterΘ se v jednotliv²ch oblastech sv∞ta nejvφce vyskytujφ (jsou hlßÜeny
213.  jednotliv²mi pozorovateli). Podle tohoto seznamu lze zjistit, jakΘ viry nßs mohou nejvφce
214.  ohrozit. In-the-Wild list lze najφt na adrese: <A HREF="http://www.wildlist.org/WildList" TARGET=_blank>
215. http://www.wildlist.org/WildList</A>.<BR>
216. <BR>
217.  
218. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/v_dete.html" TARGET=window2>Kontrola integrity - CRC checker - Integrity checker</A></B><BR>
219. <BR>
220.  
221. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni2.html" TARGET=window2>Makro viry - Macro viruses</A></B><BR>
222. <BR>
223.  
224. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/v_file.html" TARGET=window2>MezerovΘ viry - Cavity viruses</A></B><BR>
225. <BR>
226.  
227. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/v_tech.html" TARGET=window2>Metamorfnφ viry</A></B><BR>
228. <BR>
229.  
230. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>MBR - Tabulka rozd∞lenφ disku - Partition Table - PaT</B><BR>
231. Viz. kapitola "Disk a vÜe o n∞m" (dole ve slovnφku).<BR>
232. <BR>
233.  
234. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni2.html" TARGET=window2>Multipartitnφ viry - Multipartite viruses</A></B><BR>
235. <BR>
236.  
237. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni1.html" TARGET=window2>Nerezidentnφ viry</A></B><BR>
238. <BR>
239.  
240. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/v_tech.html" TARGET=window2>"NeviditelnΘ" viry - Stealth viruses</A></B><BR>
241. <BR>
242.  
243. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>OperaΦnφ systΘm (OS - operating system)</B><BR>
244. OperaΦnφ systΘm umo₧≥uje u₧ivateli komunikovat s poΦφtaΦem (kopφrovat, spouÜt∞t programyà).
245. V operaΦnφm systΘmu MS-DOS jsou nejd∙le₧it∞jÜφ t°i soubory:<BR>
246. <UL>
247.  <LI>IO.SYS - slou₧φ ke komunikaci s BIOSem a tφm i s hardwarem. IO.SYS se nachßzφ na druhΘm klastru v ·dajovΘ
248.  Φßsti disku.<BR>
249.  <LI>MSDOS.SYS - tvo°φ jßdro operaΦnφho systΘmu. P°i startu poΦφtaΦe se zavßdφ hned po IO.SYS. Pokud zavßd∞cφ
250.  program v boot sektoru nem∙₧e soubor IO.SYS nalΘzt, ohlßsφ chybovou zprßvu: "Non-System disk or disk error".<BR>
251.  <LI>COMMAND.COM - se zavßdφ jako poslednφ. Tento soubor p°ijimß od u₧ivatele p°φkazy (prost°ednictvφm
252.  p°φkazovΘho °ßdku - promptu). Obsahuje v sob∞ i zßkladnφ p°φkazy na kopφrovßnφ, mazßnφ, prohlφ₧enφ soubor∙ atd.<BR>
253. </UL>
254. <BR>
255.  
256. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni2.html" TARGET=window2>Overwriting viruses - P°episujφcφ viry</A></B><BR>
257. <BR>
258.  
259. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni2.html" TARGET=window2>ParazitickΘ viry - Parasitic viruses</A></B><BR>
260. <BR>
261.  
262. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>PaT - MBR - Tabulka rozd∞lenφ disku - Partition Table</B><BR>
263. Viz. kapitola "Disk a vÜe o n∞m" (dole ve slovnφku).<BR>
264. <BR>
265.  
266. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Partition Table - PaT - MBR - Tabulka rozd∞lenφ disku</B><BR>
267. Viz. kapitola "Disk a vÜe o n∞m" (dole ve slovnφku).<BR>
268. <BR>
269.  
270. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/v_tech.html" TARGET=window2>Polymorfnφ viry - Polymorphic viruses</A></B><BR>
271. <BR>
272.  
273. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni2.html" TARGET=window2>P°episujφcφ viry - Overwriting viruses</A></B><BR>
274. <BR>
275.  
276. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni1.html" TARGET=window2>Rezidentnφ viry</A></B><BR>
277. <BR>
278.  
279. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/v_tech.html" TARGET=window2>Retro viry</A></B><BR>
280. <BR>
281.  
282. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/v_dete.html" TARGET=window2>Scanner - Skener</A></B><BR>
283. <BR>
284.  
285. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Sekvence - Signatura - ╪et∞zec - String</B><BR>
286.     Skupina bajt∙ vyskytujφcφch se v t∞lech vir∙, podle kter²ch je skener hledß.
287. <BR><BR>
288.  
289. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/v_dete.html" TARGET=window2>Skener - Scanner</A></B><BR>
290. <BR>
291.  
292. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni2.html" TARGET=window2>SouborovΘ viry - File viruses</A></B><BR>
293. <BR>
294.  
295. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/v_tech.html" TARGET=window2>Stealth viruses - "NeviditelnΘ" viry</A></B><BR>
296. <BR>
297.  
298. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Tabulka rozd∞lenφ disku - Partition Table - PaT - MBR</B><BR>
299. Viz. kapitola "Disk a vÜe o n∞m" (dole ve slovnφku).<BR>
300. <BR>
301.  
302. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Trasovßnφ</B><BR>
303.     Stav, kdy je k≤d provßd∞n po jednotliv²ch strojov²ch instrukcφch, p°iΦem₧ po ka₧dΘ instrukci je mo₧no
304.  analyzovat jejφ vliv na stav poΦφtaΦe. Trasovßnφ programu lze provßd∞t ruΦn∞ (nap°. pomocφ debugeru), nebo
305.  automaticky (tak to d∞lajφ n∞kterΘ antiviry).
306. <BR><BR>
307.  
308. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Trigger</B><BR>
309.     Anglick² termφn pro spouÜt∞cφ podmφnku, jejφ₧ spln∞nφ mß za nßsledek provedenφ n∞jakΘ specißlnφ, Φasto 
310. ÜkodlivΘ, Φinnosti viru (do tΘ doby se vir sna₧il b²t co nejmΘn∞ nßpadn²). Typick²m p°φkladem takovΘ podmφnky
311.  je dosa₧enφ n∞jakΘho data.
312. <BR><BR>
313.  
314. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni.html" TARGET=window2>TrojskΘ kon∞ - Trojan Horses</A></B><BR>
315. <BR>
316.  
317. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/v_tech.html" TARGET=window2>Tunelujφcφ viry</A></B><BR>
318. <BR>
319.  
320. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni.html" TARGET=window2>Viry - Viruses</A></B><BR>
321. <BR>
322.  
323. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B><A HREF="kniha_o_virech/deleni.html" TARGET=window2>Worms - ╚ervi</A></B><BR>
324. <BR>
325.  
326. <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Zdrojov² text programu - "Zdrojßk"</B><BR>
327.     V²chozφ tvar programu, kdy jsou jednotlivΘ po₧adovanΘ Φinnosti popsßny v textovΘ form∞ pomocφ
328.  smluven²ch konvencφ danΘho programovacφho jazyka. Zdrojov² text nem∙₧e b²t p°φmo spuÜt∞n. Nejprve
329.  musφ b²t p°ekladaΦem p°eveden do binßrnφ podoby.
330. <BR><BR>
331.  
332.  <H3>P°eruÜenφ (Interrupt)</H3>
333.  
334. <i>Nßsledujφcφ Φßst se t²ka p°edevÜφm operaΦnφho systΘmu MS-DOS. Situace ve Windows 9x/NT/2000 je jinß.</i><br>
335. <br>
336.  
337.  <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>P°eruÜenφ</B><BR>
338.  P°eruÜenφ je nßstroj, pomocφ kterΘho se dostane virus k prost°edk∙m BIOSu a DOSu.
339.  Bez t∞chto prost°edk∙ by se virus neum∞l mno₧it ani Ükodit.<BR>
340.  P°eruÜenφm (Interrupt) nazveme hardwarov² signßl, kter² vede k p°eruÜenφ b∞hu
341.  programu vykonßvanΘho procesorem a p°esm∞rovßnφ b∞hu procesoru na program obsluhujφcφ p°eruÜenφ.
342.  Po ukonΦenφ tohoto programu nßsleduje obnovenφ p∙vodnφho stavu a pokraΦovßnφ p°eruÜenΘho programu.<BR>
343.  P°eruÜenφ m∙₧eme rozd∞lit na p°eruÜenφ vyvolanΘ hardwarem (nemaskovatelnΘ signßlem NMI, maskovatelnΘ signßlem INTR)
344.  a softwarem (instrukce INT, chyba b∞hu programu). Softwarovß p°eruÜenφ jsou na ·rovni BIOSu, DOSu a
345.  u₧ivatelsk²ch program∙.<BR>
346.  Viry pracujφ s p°eruÜenφmi vyvolan²mi instrukcφ INT (je jich 256, t.j. 0-255).
347.  P°i tomto p°eruÜenφ nßsleduje skok na mφsto, kde je obslu₧n² program. Adresa pro obslu₧n²
348.  program se nachßzφ v pam∞ti RAM, kde je tzv. tabulka p°eruÜovacφch vektor∙ (adres obslu₧n²ch program∙).<BR>
349.  Tabulka zaΦφnß od adresy 0000:0000 a mß velikost 4*256 byt∙. Na 1 vektor (adresu) pot°ebujeme
350.  4 byty (2 na segment a 2 na offset).<BR>
351.  <BR>
352.  
353.  <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>P°esm∞rovßnφ p°eruÜenφ (hook interrupt)</B><BR>
354.  Jak vφme, p°eruÜenφ jsou ulo₧enΘ v tabulce, kterß je v pam∞ti RAM. Pokud zm∞nφme n∞kter² vektor (adresu)
355.  p°eruÜenφ v tabulce stane se toto: Po vykonßnφ p°φsluÜnΘho p°eruÜenφ bude nßsledovat odskok do jinΘ oblasti
356.  pam∞ti. Takto se m∙₧eme postarat o to, aby se na mφsto p∙vodnφho obslu₧nΘho programu vykonal nßÜ program a po
357.  skonΦenφ naÜeho programu nßsleduje skok na p∙vodnφ obslu₧n² program (hook interrupt).<BR>
358.  Tohoto hojn∞ vyu₧φvajφ viry (ale i jinΘ rezidentnφ programy). Virus je ulo₧en² v pam∞ti a n∞kterΘ z p°eruÜenφ
359.  mß p°esm∞rovanΘ tak, ₧e ukazuje do t∞la viru. Jestli₧e n∞jakß Φinnost vyvolß p°eruÜenφ (nap°. prohlφ₧enφ, Φtenφ,
360.  zavßd∞nφ programu), dochßzφ k aktivaci viru a ten m∙₧e infikovat program (prohlφ₧en², Φten², zavßd∞n²) nebo zp∙sobit Ükodu.<BR>
361.  <BR>
362.  <B><U>N∞kterΘ d∙le₧itΘ p°eruÜenφ z pohledu vir∙:</U></B><BR>
363.  <BR>
364.   <B>INT 1 - Krokovacφ re₧im (Single-Step)</B><BR>
365.   Jestli₧e je nastaven² p°φznak TF=1, po vykonßnφ ka₧dΘ instrukce programu se vyvolß ladφcφ program.
366.   Takto lze krokovat Φinnost viru. Dob°e napsanΘ viry majφ p°esm∞rovanΘ i toto p°eruÜenφ a tφm znemo₧nujou
367.   krokovßnφ svΘho k≤du.<BR>
368.   <BR>
369.   <B>INT 3 - Ladφcφ bod (Breakpoint Trap)</B><BR>
370.   Pou₧φvß se spolu s p°eruÜenφm INT 1. Slou₧φ k zastavenφ b∞hu vykonßvanΘho programu a skoku na ladφcφ program.
371.   I toto p°eruÜenφ majφ n∞kterΘ viry p°esm∞rovanΘ, aby znesnadnili svoji anal²zu.<BR>
372.   <BR>
373.   <B>INT 25h</B><BR>
374.   Slou₧φ k naΦφtßnφ sektor∙ z disku. Vy₧aduje vstupnΘ ·daje:<BR>
375.   <BR>
376.   <TABLE BORDER=1>
377.    <TR>
378.     <TD><FONT SIZE="2" face="arial"><B>Register</B></TD><TD><FONT SIZE="2" face="arial"><B>V²znam</B></TD>
379.    </TR>
380.    <TR>
381.     <TD><FONT SIZE="2" face="arial">AL</TD><TD><FONT SIZE="2" face="arial">╚φslo diskovΘho za°φzenφ (0=A, 1=B ...).</TD>
382.    </TR>
383.    <TR>
384.     <TD><FONT SIZE="2" face="arial">CX</TD><TD><FONT SIZE="2" face="arial">PoΦet sektor∙, kterΘ se majφ Φφst.</TD>
385.    </TR>
386.    <TR>
387.     <TD><FONT SIZE="2" face="arial">DX</TD><TD><FONT SIZE="2" face="arial">LogickΘ Φislo prvnΘho naΦφtanΘho sektoru.</TD>
388.    </TR>
389.    <TR>
390.     <TD><FONT SIZE="2" face="arial">DS</TD><TD><FONT SIZE="2" face="arial">Segmentovß adresa pam∞ti pro naΦφtanΘ ·daje.</TD>
391.    </TR>
392.    <TR>
393.     <TD><FONT SIZE="2" face="arial">BX</TD><TD><FONT SIZE="2" face="arial">Offsetovß adresa pam∞ti pro naΦφtanΘ ·daje.</TD>
394.    </TR>
395.   </TABLE>
396.   <BR>
397.   Po ukonΦenφ p°eruÜenφ jsou v registrech v²stupnφ ·daje:<BR>
398.   <BR>
399.   <TABLE BORDER=1>
400.    <TR>
401.     <TD><FONT SIZE="2" face="arial"><B>Register</B></TD><TD><FONT SIZE="2" face="arial"><B>V²znam</B></TD>
402.    </TR>
403.    <TR>
404.     <TD><FONT SIZE="2" face="arial">CF=0</TD><TD><FONT SIZE="2" face="arial">╚tenφ bez chyb.</TD>
405.    </TR>
406.    <TR>
407.     <TD><FONT SIZE="2" face="arial">CF=1</TD><TD><FONT SIZE="2" face="arial">P°i p°enose doÜlo k chyb∞.</TD>
408.    </TR>
409.    <TR>
410.     <TD><FONT SIZE="2" face="arial">AL</TD><TD><FONT SIZE="2" face="arial">Chybov² k≤d DOSu.</TD>
411.    </TR>
412.    <TR>
413.     <TD><FONT SIZE="2" face="arial">AH</TD><TD><FONT SIZE="2" face="arial">Chybov² k≤d BIOSu.</TD>
414.    </TR>
415.   </TABLE>
416.   <BR>
417.   P°i nßvrat∞ z INT 25h jsou zm∞n∞nΘ obsahy vÜech registr∙ krom∞ segmentov²ch registr∙ CS, DS, ES a SS.<BR>
418.   <BR>
419.  
420.   <B>INT 26h</B><BR>
421.   Slou₧φ k zßpisu obsahu sektor∙ na urΦenΘ mφsto na disku. Mo₧nΘ chyby p°i tΘto Φinnosti:<BR>
422.   <BR>
423.   <I>DOS:</I>
424.   <TABLE BORDER=1>
425.    <TR>
426.     <TD><FONT SIZE="2" face="arial"><B>K≤d</B></TD><TD><FONT SIZE="2" face="arial"><B>V²znam</B></TD>
427.    </TR>
428.    <TR>
429.     <TD><FONT SIZE="2" face="arial">00</TD><TD><FONT SIZE="2" face="arial">Pokus o zßpis na disketu chrßn∞nou proti zßpisu.</TD>
430.    </TR>
431.    <TR>
432.     <TD><FONT SIZE="2" face="arial">01</TD><TD><FONT SIZE="2" face="arial">NeplatnΘ Φφslo za°φzenφ.</TD>
433.    </TR>
434.    <TR>
435.     <TD><FONT SIZE="2" face="arial">02</TD><TD><FONT SIZE="2" face="arial">Jednotka nenφ p°ipravenß.</TD>
436.    </TR>
437.    <TR>
438.     <TD><FONT SIZE="2" face="arial">04</TD><TD><FONT SIZE="2" face="arial">Chyba parity (CRC error).</TD>
439.    </TR>
440.    <TR>
441.     <TD><FONT SIZE="2" face="arial">06</TD><TD><FONT SIZE="2" face="arial">Chyba p°i nastavovßnφ hlavy na stopu.</TD>
442.    </TR>
443.    <TR>
444.     <TD><FONT SIZE="2" face="arial">07</TD><TD><FONT SIZE="2" face="arial">Pro DOS neΦiteln² formßt.</TD>
445.    </TR>
446.   </TABLE>
447.   <BR>
448.   <I>BIOS:</I>
449.   <TABLE BORDER=1>
450.    <TR>
451.     <TD><FONT SIZE="2" face="arial"><B>K≤d</B></TD><TD><FONT SIZE="2" face="arial"><B>V²znam</B></TD>
452.    </TR>
453.    <TR>
454.     <TD><FONT SIZE="2" face="arial">08</TD><TD><FONT SIZE="2" face="arial">Sektor nebyl nalezen.</TD>
455.    </TR>
456.    <TR>
457.     <TD><FONT SIZE="2" face="arial">0Ah</TD><TD><FONT SIZE="2" face="arial">Chyba p°i zßpisu.</TD>
458.    </TR>
459.    <TR>
460.     <TD><FONT SIZE="2" face="arial">0Bh</TD><TD><FONT SIZE="2" face="arial">Chyba p°i Φtenφ.</TD>
461.    </TR>
462.    <TR>
463.     <TD><FONT SIZE="2" face="arial">0Ch</TD><TD><FONT SIZE="2" face="arial">Jin² druh chyby.</TD>
464.    </TR>
465.   </TABLE>
466.   <BR>
467.   Hodn∞ vir∙ se pokouÜφ infikovat programy na disket∞. Jestli₧e je disketa chrßn∞na proti zßpisu, je indikovßna
468.   chyba 00. Jestli₧e nenφ oÜet°enß, objevφ se hlßÜenφ: "Write protect error...". Takto lze Φasto objevit mΘn∞ kvalitnφ
469.   neznßm² virus. Dob°e napsan² virus mß tuto chybu oÜet°enou a hlßÜenφ se neobjevφ.<BR>
470.   <BR>
471.  
472.   <B>INT 27h</B><BR>
473.   Toto p°eruÜenφ slou₧φ na uschovßnφ programu, kter² p°eruÜenφ vyvolal v pam∞ti (TSR programy). Vstup: V DX je relativnφ
474.   adresa prvΘho bytu volnΘ pam∞ti v programovΘm segment∞, t.j. v DX je adresa poslednφho bytu k≤du,
475.   kter² z∙stane rezidentnφ.<BR>
476.   Takto se uchovßvajφ .COM programy. Kdy₧ jde o .EXE program, rezidentnφ Φßst k≤du musφ b²t na zaΦßtku
477.   programu a mß maximßln∞ 64 KB.<BR>
478.   <BR>
479.  
480.   <B>INT 21h</B><BR>
481.   INT 21h pat°φ mezi nejv²znam∞jÜφ p°eruÜenφ, jeliko₧ poskytuje u₧ivatelovi slu₧by DOSu. Toto p°eruÜenφ p°esm∞ruje
482.   v∞tÜina rezidentnφch vir∙. Podle hodnoty vstupnφch ·daj∙ poskytuje u₧ivatelovi r∙znΘ funkce. Ka₧dß funkce mß
483.   po₧adovanΘ vstupy a dßvß jist² druh v²stup∙. V∞tÜinou v registru AH je Φφslo po₧adovanΘ funkce.<BR>
484.   N∞kterΘ d∙le₧itΘ funkce sledovanΘ viry:<BR>
485.   <BR>
486.   <UL>
487.    <B>3Ch</B> - vytvo°enφ souboru,<BR>
488.    <B>3Dh</B> - otev°enφ souboru,<BR>
489.    <B>3Fh</B> - Φtenφ ze souboru,<BR>
490.    <B>40h</B> - zßpis do souboru,<BR>
491.    <B>43h</B> - zm∞na vlastnostφ souboru.<BR>
492.   </UL>
493.   <BR>
494.   P°i aplikaci t∞chto funkcφ na program, je pro virus ideßlnφ situace pro napadnutφ danΘho programu, i kdy₧ se pracuje s diskem.<BR>
495.   Funkci 3Fh kontrolujou tzv. neviditelnΘ viry (stealth viruses). Ty sledujou, co se ze souboru Φte.
496.   Jestli₧e se dojde na mφsto, kde je virus, naΦφtajφ se jinΘ ·daje a virus je neviditeln².<BR>
497.   Funkci 4Eh slou₧φ na hledßnφ prvΘho specifikovanΘho souboru (FindFirst). Tuto funkci vyu₧φvajφ viry,
498.   kterΘ aktivn∞ vyhledßvajφ programy pro napadnutφ (*.COM, *.EXE apod.).<BR>
499.   Funkce 4Fh slou₧φ na hledßnφ dalÜφho souboru (FindNext). Pomocφ tΘto funkce pokraΦuje prohledßvßnφ adresß°e v cykle,
500.   v∞tÜinou do doby, a₧ se najde nenapaden² soubor.<BR>
501.   Funkce 57h je pro zm∞nu datumu a Φasu poslednφho zßpisu do souboru. Tuto funkci vyu₧φvajφ Üikovn∞jÜφ viry,
502.   aby po sob∞ zametli stopy. Postarajφ se o to, aby navzdory nyn∞jÜφmu zßpisu do souboru (p°i vklßdßnφ viru) z∙stal
503.   datum a Φas nezm∞n∞n².<BR>
504.   P°i prßci ze soubory existujφ i jinΘ funkce, kterΘ pracujφ s tzv. °φdφcφmi bloky - File Control Block (FCB). Je to poz∙statek
505.   ze star²ch verzφch DOSu pro pot°eby kompatibility. Viry vyu₧φvajφ samoz°ejm∞ i tyto metody. K tomu slou₧φ funkce:<BR>
506.   <BR>
507.   <UL>
508.    <B>0Fh</B> - otev°enφ souboru,<BR>
509.    <B>10h</B> - uzav°enφ souboru,<BR>
510.    <B>11h</B> - nalezenφ prvnφ polo₧ky adresß°e (FindFirst),<BR>
511.    <B>12h</B> - nalezenφ dalÜφ polo₧ky adresß°e (FindNext),<BR>
512.    <B>14h</B> - sekvenΦnφ Φtenφ ze souboru,<BR>
513.    <B>15h</B> - sekvenΦnφ zßpis do souboru,<BR>
514.    <B>16h</B> - vytvo°enφ souboru,<BR>
515.    <B>23h</B> - zjiÜt∞nφ dΘlky souboru.<BR>
516.   </UL>
517.   <BR>
518.   NeviditelnΘ viry se musφ postarat o to, aby se zobrazila p∙vodnφ dΘlka nenapadnutΘho programu a proto kontrolujφ i tyto funkce.<BR>
519.   <BR>
520.   <B>DalÜφ d∙le₧itΘ funkce:</B><BR>
521.   <BR>
522.   <UL>
523.    <B>0Eh</B> - V²b∞r aktußlnφho disku. Tuto funkci pou₧φvß virus, kdy₧ chceme pracovat nap°φklad s disketou.<BR>
524.    <B>19h</B> - Zjist∞nφ aktußlnφho disku.<BR>
525.    <B>1Ch</B> - Informace o diskovΘm za°φzenφ.<BR>
526.    <B>00h</B> - UkonΦenφ programu. Vhodnß doba na nakazenφ programu je i p°i jeho ukonΦenφ.<BR>
527.    <B>31h</B> - UkonΦenφ programu a zachovßnφ v pam∞ti (TSR programy). Mß podobn² v²znam jako INT 27h.<BR>
528.    <B>4Ch</B> - UkonΦenφ prßce programu. N∞kterΘ viry napadajφ programy p°i ukonΦenφ jejich prßce.<BR>
529.    <B>4Bh</B> - Zavedenφ a spuÜt∞nφ programu. Taky vhodnß doba na napadenφ programu.<BR>
530.    <B>48h</B> - P°id∞lenφ bloku pam∞ti. P°id∞lenφ bloku (alokace) pou₧φvajφ n∞kterΘ rezidentnφ viry. Takov² virus si pam∞t bu∩
531.         alokuje (p°idelφ), ale je vyÜÜφ pravd∞podobnost jejich odhalenφ, nebo nealokujou, a potom nesou riziko, ₧e je n∞co v pam∞ti p°epφÜe.<BR>
532.    <B>25h</B> - Nastavenφ vektoru p°eruÜenφ na novou adresu. Tuto funkci vyu₧φvajφ mnohΘ viry m∞nφcφ vektor p°eruÜenφ. N∞kterΘ viry m∞nφ p°φmo hodnoty v tabulce.<BR>
533.    <B>35h</B> - ZjiÜt∞nφ hodnoty vektoru p°eruÜenφ. N∞kterΘ viry si kontrolujou, Φi n∞jak² program nep°esm∞roval danΘ p°eruÜenφ (nap°. monitorovacφ program).<BR>
534.    <B>2Ah</B> - ZjiÜt∞nφ datumu. Pou₧φvajφ to viry, kterΘ spouÜtφ svoji Ükodlivou (neÜkodlivou) akci v jist² den.<BR>
535.    <B>2Ch</B> - ZjiÜt∞nφ Φasu. Pou₧φvajφ to viry, kterΘ spouÜtφ svoji akci v p°esnΘm Φase.<BR>
536.   </UL>
537.  <BR>
538.  
539.  <H3>Disk a vÜe o n∞m</H3>
540.  Na pevnΘm disku nebo na disket∞ je ulo₧eno mnoho rozdφln²ch druh∙ ·daj∙.
541.  Tyto ·daje jsou ulo₧eny jist²m zp∙sobem, kter² je urΦen² fyzickou
542.  strukturou diskety (disku) a vlastnostmi operaΦnφho systΘmu.
543.  Mezi t∞mito ·daji m∙₧ou b²t ulo₧eny i viry.<BR>
544.  <BR>
545.  <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Povrchy, stopy, cylindry</B><BR>
546.  Pevn² disk tvo°φ n∞kolik ploten na sebou, v disket∞ se nachßzφ tato
547.  plotna pouze jedna. Na ka₧dΘ stran∞ t∞chto ploten se nachßzφ hlava,
548.  kterß Φte a zapisuje ·daje z danΘho povrchu plotny. Plotny se otßΦejφ
549.  a hlaviΦka se pohybuje ve sm∞ru st°ed-okraj plotny. Mφsto, kde se m∙₧ou
550.  zapisovat ·daje tvo°φ soust°ednΘ kru₧nice na plotn∞ (podobn∞ jako na
551.  gramofonovΘ desce).<BR>
552.  Soust°ednΘ kru₧nice na povrchu plotny naz²vßme stopy (tracks). Stopy pod
553.  sebou na jednotliv²ch plotnßch vytvß°ejφ cylinder, vßlec. Stopy i cylindry
554.  jsou ΦφslovanΘ. Stopa 0 je vn∞jÜφ kru₧nice, poslednφ stopa je vnit°nφ
555.  kru₧nice.<BR>
556.  <BR>
557.  Cylinder 0 je tvo°en² vÜemi stopami 0 na jednotliv²ch plotnßch (ve vÜech
558.  vrstvßch):<BR>
559.  <UL>
560.   povrch 0 (hlava 0) - hornφ strana 1.plotny,<BR>
561.   povrch 1 (hlava 1) - dolnφ strana 1.plotny,<BR>
562.   povrch 2 (hlava 2) - hornφ strana 2.plotny,<BR>
563.  </UL>
564.  <BR>
565.  Stopy majφ p°φliÜ velkou kapacitu na to, aby se pracovalo p°φmo s nimi.
566.  Proto je ka₧dß stopa rozd∞lenß na menÜφ Φßsti - sektory.<BR>
567.  <BR>
568.  
569.  <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Formßtovßnφ</B><BR>
570. Proces, p°i kterΘm se vytvo°φ d∙le₧itΘ oblasti na disku. Disk se
571.  rozd∞lφ na systΘmovou oblast (mφsto pro boot sektor, FAT, a hlavnφ adresß°)
572.  a ·dajovou oblast (zde jsou naÜe programy atd.). Aby bylo mo₧nΘ formßtovat
573. (p°φkaz FORMAT), musφ existovat Partition table, kterou je nutnΘ vytvo°it ji₧
574.  p°edtφm pomoci programu FDISK. Viry m∙₧eme najφt v systΘmovΘ (boot viry) i v ·dajovΘ oblasti
575.  (souborovΘ viry, makroviry...).<BR>
576. Formßtovßnφm zlikvidujeme viry ulo₧enΘ v boot sektoru a viry souborovΘ (pop°. makroviry apod.).
577. Nezbavφme se vÜak vir∙, ulo₧en²ch v Partition table (MBR). T∞ch se zbavφme
578.  dosovsk²m p°φkazem FDISK /MBR, kter² p°epφÜe zavad∞Φ v Partition tabulce
579.  obecn∞ platn²m k≤dem.<BR>
580.  <BR>
581.  
582.  <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>LogickΘ sektory</B><BR>
583.  Jestli₧e pracujeme z diskem na nφzkΘ ·rovnφ (tzv. na ·rovni BIOSu),
584.  pou₧φvßme adresovßnφ mφsta na disku pomocφ Φφsla vßlce (cylinder), povrchu
585.  (hlava - head) a sektoru (sector). Jde o trojrozm∞rnΘ adresovßnφ. Pro Dos
586.  je tato adresace nepohodlnß a proto pou₧φvß jinou adresaci, jednorozm∞rnou
587.  - tzv. logickΘ sektorovßnφ. LogickΘ sektory zaΦφnajφ od 0 !.<BR>
588.  <BR>
589.  
590.  <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Clustery (Cluster - Klastr)</B><BR>
591.  Pokud chceme p°eΦφst z disku jeden byte stane se toto:
592.  Z disku se nep°eΦte pouze po₧adovan² byte, ale p°eΦte se cel² sektor, kde
593.  je tento byte ulo₧en². Sektor je nejmenÜφ skupina ·daj∙, s kterou disk
594.  pracuje. Pro pevn² disk je sektor p°φliÜ malΘ mno₧stvφ ·daj∙. Proto se
595.  zdru₧uje vφce sektor∙ a vytvß°ejφ se tzv. clustery (Φesky "klastry").<BR>
596.  Pokud se na disku p°id∞luje mφsto souboru, p°id∞luje se po klastrech.
597.  Pevn² disk mß v∞tÜinou klastr velik² 4, 8, 16 KB. Pokud mßme klastr 8 KB,
598.  a chceme na disk ulo₧it soubor dlouh² 1 KB, z∙stane 7 KB nevyu₧ito (tzv.
599.  slack). Teoreticky m∙₧e b²t v tΘto meze°e ulo₧en virus.<BR>
600.  Clustery jsou taky ΦφslovanΘ, ale Φφslovßnφ zaΦφnß od 2 (stopy od 0,
601.  sektory od 1). SystΘmovß oblast (boot sektor, FAT, hlavnφ adresß°) nenφ
602.  pod Φφslovßnφ klastr∙ zahrnutß. Velikost klastr∙ m∙₧e b²t ovlivn∞na pou₧it²m souborov²m systΘmem (FAT, FAT32, NTFS apod.)<BR>
603.  <BR>
604.  <BR>
605.  <A NAME="str">
606.  <H4>Struktura dat na disku</H4>
607.  <CENTER>
608.   <IMG SRC="p_disk.gif">
609.  </CENTER>
610.  <BR>
611.  
612.  <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Partition Table (Tabulka rozd∞lenφ disku) - jinak °eΦeno: PaT, MBR (Master Boot Record)</B><BR>
613.  OperaΦnφ systΘm Windows (pop°. DOS) nßm poskytuje mo₧nost rozd∞lit pevn² disk na n∞kolik Φßstφ (partiφ
614.  - logickΘ disky). Tyto Φßsti se pak jevφ jako disky D: E: ... Rozd∞lenφ
615.  pevnΘho disku se provßdφ pomocφ programu FDISK. Jen jedna Φßst disku m∙₧e
616.  b²t oznaΦena jako aktivnφ. Z tΘto Φßsti (partie) se nahrßvß operaΦnφ
617.  systΘm p°i startu poΦφtaΦe.<BR>
618.  ┌daje o rozd∞lenφ pevnΘho disku jsou ulo₧enΘ v prvnφm sektoru na pevnΘm
619.  disku, tvo°φ tzv. Partition Table (Partition tabulka, jinak MBR Φi PaT). PoÜkozenφm partition
620.  tabulky se m∙₧e stßt pro u₧ivatele disk nep°φstupn². Je jasnΘ, ₧e Φasto
621.  se v takovΘm p°φpad∞ jednß o poÜkozenφ virem.<BR>
622.  Krom∞ partition tabulky se v partition sektoru nachßzφ i krßtk², tzv. zavßd∞cφ
623.  program. Tento program se spouÜtφ v₧dy po startu poΦφtaΦe (p°i tzv.
624.  bootovßnφ). Tento program skoΦφ na zavßd∞cφ program v boot sektoru aktivnφ
625.  partie. Mnoho vir∙ vyu₧φvß tuto oblast.<BR>
626.  <BR>
627.  
628.  <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Boot sektor</B><BR>
629.  Boot sektor se nachßzφ na zaΦßtku diskety. V p°φpad∞ pevnΘho disku je boot
630.  sektor na zaΦßtku dosovskΘ Φßsti pevnΘho disku.<BR>
631.  V boot sektoru jsou ulo₧enΘ d∙le₧itΘ informace (velikost sektoru, poΦet
632.  sektor∙ na stopu, poΦet sektor∙ na disku, atd.).<BR>
633.  Krom∞ t∞chto ·daj∙ se v boot sektoru nachßzφ i krßtk² program zavßd∞cφ
634.  program. Jeho ·kolem je zaΦφt proces zavßd∞nφ operaΦnφho systΘmu. Na mφst∞
635.  zavßd∞cφho programu se m∙₧e nachßzet boot virus. Boot sektor se vytvß°φ
636.  p°i logickΘm formßtovßnφ.<BR>
637.  <BR>
638.  
639.  <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>FAT - File Allocation Table (souborov² systΘm)</B><BR>
640.  Jak vφme, ka₧d² soubor na disku mß k dispozici n∞kolik klastr∙. Pokud vÜak
641.  chceme na disk ulo₧it nov² soubor, zaΦnou b²t problΘmy: kde je volnΘ mφsto ?
642.  Asi by nebylo dobrΘ prohlΘdnout systematicky cel² pevn² disk a hledat p°i
643.  tom volnΘ mφsto. Proto je na zaΦßtku disku ulo₧ena tabulka, ve kterΘ jsou
644.  informace o vÜech klastech na disku.
645.  Mluvφme o FAT (File Allocation Table - tabulka obsazenφ disku). Pro ka₧d²
646.  klastr je vyhrazena jedna polo₧ka ve FAT. V polo₧ce FAT je informace, zda
647.  je klastr voln², obsazen² nebo chybn².
648.  Ve FAT ale nenφ informace, kterΘmu souboru pat°φ dan² klastr (tato
649.  informace je ulo₧ena v ka₧dΘm adresß°i spoleΦn∞ s dalÜφmi informacemi o
650.  souborech).<BR>
651.  KterΘ klastry pat°φ danΘmu souboru lze zjistit podle FAT nßsledovn∞:
652.  Funguje to tak, ₧e v polo₧ce FAT pro dan² klastr je uvedeno Φφslo dalÜφho
653.  klastru pat°φcφho k danΘmu souboru. V posledn∞ jmenovanΘm klastru je Φφslo dalÜφho klastru ... a₧ dojdeme
654.  na konec, kde je k≤d <EOF> (end of file - konec souboru) pro konec
655.  souboru. Z toho vyplφvß, ₧e ve FAT jsou jakΘsi °et∞zce Φφsel klastr∙,
656.  pat°φcφ pro ka₧d² soubor.<BR>
657.  <BR>
658.  V jednotliv²ch polo₧kßch tabulky FAT b²vajφ zapsanΘ tyto ·daje
659.  (hexadecimßln∞):<BR>
660.  <UL>
661.   0000 Voln² klastr p°i p°id∞lovßnφ.<BR>
662.   0002 - FFEF Obsazen² klastr, uvedenΘ Φφslo je Φφslo dalÜφho klastru.<BR>
663.   FFF0 - FFF6 Klastr je rezervovan², nenφ mo₧nΘ ho obsadit.<BR>
664.   FFF7 Chybn² klastr, nenφ mo₧nΘ ho obsadit.<BR>
665.   FFF8 - FFFF Znak pro poslednφ klastr souboru.<BR>
666.  </UL>
667.  <BR>
668.  Je z°ejmΘ, ₧e FAT tabulku mß v oblib∞ hodn∞ vir∙. Jestli₧e je toti₧ boot
669.  virus delÜφ a nevejte se do jednoho sektoru, musφ umφstit Φßst svΘho t∞la
670.  n∞kam jinam na disk. Proto nenφ nic divnΘho, ₧e tuto oblast oznaΦφ ve FAT
671.  jako chybnou (FFF7). Adresß°ov² virus (DIR-2) zase zm∞nφ ukazatel
672.  poΦßteΦnφho sektoru souboru tak, aby ukazoval na prvnφ klastr viru.<BR>
673.  N∞kterΘ viry poÜkozujou FAT (nap°. p°ehodφ dv∞ polo₧ky - swap, nebo zde
674.  zapφÜou nesmysly apod.). NebezpeΦnΘ je, jestli₧e se poÜkodφ polo₧ky pro
675.  ·dajov² soubor (na programu to poznßme lehce, nebe₧φ...).
676.  Takto se nßm do textu m∙₧e vlo₧it nap°. kus jinΘho programu. PoÜkozen²
677.  soubor se m∙₧e dostat i na zßlo₧nφ kopie (kterΘ jist∞ ka₧d² z vßs d∞lß),
678.  bez toho aby jsme si toho vÜimli. Tohle provßdφ nap°φklad velmi nebezpeΦn²
679.  virus Nomenclatura .<BR>
680.  Na disku jsou ulo₧enΘ dv∞ kopie FAT hned za sebou. Je to proto, proto₧e
681.  strßta ·daj∙ z tΘto tabulky by byla velmi nep°φjemnß. Jestli₧e je n∞jakß
682.  oblast FAT tabulky neΦitelnß, provßdφ se pokus o Φtenφ z druhΘ kopie tabulky.<BR>
683.  <BR>
684. Mluvil jsem pouze o souborovΘm systΘmu FAT. Samoz°ejm∞ existujφ i dalÜφ, jako FAT32, NTFS, Ext2 apod.<BR>
685. <BR>
686.  
687.  <IMG SRC="ukazatel.gif" ALIGN="LEFT"><B>Hlavnφ adresß° (Root Directory)</B><BR>
688.  Snad ka₧d² u₧ivatel PC znß pojem adresß°. Hlavnφ adresß° mß vÜak jinΘ
689.  postavenφ. Mφsto pro n∞j je p°edem vyΦlen∞no a proto obsahuje jen omezen²
690.  poΦet polo₧ek.<BR>
691.  V hlavnφm adresß°i mohou b²t soubory, podadresß°e nebo "volume label" -
692.  nßzev disku. V adresß°i je mnoho ·daj∙ o jednotliv²ch souborech (nap°. i
693.  poΦßteΦnφ klastr soubor∙). Ka₧dß polo₧ka v adresß°i mß 32 byt∙. Rozd∞lenφ
694.  byt∙:<BR>
695.  <UL>
696.   8 - jmΘno,<BR>
697.   3 - rozÜφ°enφ (p°φpona),<BR>
698.   1 - atributy,<BR>
699.   10 - rezervovanΘ pro systΘm (vyu₧φvß virus Dir-2),<BR>
700.   2 - datum,<BR>
701.   2 - Φas,<BR>
702.   2 - prvnφ zßznam ve FAT tabulce (poΦßteΦnφ klastr),<BR>
703.   4 - velikost souboru.<BR>
704.  </UL>
705.  <BR>
706.  Prvnφ znak jmΘna souboru m∙₧e m²t i sv∙j zvlßÜtnφ v²znam:<BR>
707.  "0" na prvnφm mφst∞ znamenß, ₧e jsme na konci aktivnφch adresß°ov²ch
708.  zßznam∙.<BR>
709.  "." je symbol pro ·daj o adresß°i (pro aktußlnφ podadresß° a nad°azen²
710.  adresß°).<BR>
711.  Znak sigma (e5h) indikuje, ₧e soubor byl smazßn. Pokud se pokouÜφme
712.  obnovit vymazan² soubor (nap°. p°φkaz Undelete), na mφsto tohoto znaku se
713.  nßm objevφ otaznφk, kter² nahradφme znakem.<BR>
714.  Vymazßnφ souboru pod Dosem toti₧ nenφ fyzickΘ vymazßnφ souboru. Po
715.  vykonßnφ p°φkazu pro smazßnφ souboru (nap°. i v NC, DN, M602 apod.) se
716.  p°epφÜe pouze prvnφ znak jmΘna souboru znakem e5h, vynulujφ se prvnφ byty
717.  v p°φsluÜn²ch polo₧kßch FAT. Pokud nejsou tyto klastry pou₧φvanΘ jin²mi
718.  soubory, je mo₧nΘ smazan² soubor obnovit.<BR>
719.  <BR>
720. Op∞t jsem mluvil pouze o souborovΘm systΘmu FAT. U ostatnφch se m∙₧ou ·daje liÜit.<BR>
721. <BR>
722.  
723. <br><br>
724. <!-- ************ Mr.Lin(x) HTML CODE Version 3.5 (Begin) ************* -->
725. <NOSCRIPT>
726.   <A HREF="http://Mr.Linx.cz"><IMG SRC="http://Mr.Linx.cz/banners/banner.gif" ALT="Advertising system Mr.Lin(x)"></a>
727. </NOSCRIPT>
728.     <SCRIPT language="javascript">
729.     <!--
730.       var appName
731.       var appVer
732.       appName = navigator.appName
733.       appVer = parseFloat(navigator.appVersion.substring(0,4))
734.       if ((((appName.indexOf("Microsoft")>-1)&&(appVer<4))||((appName.indexOf("Netscape")>-1)&&(appVer<4)))||((appName.indexOf("Netscape")==-1)&&(appName.indexOf("Microsoft")==-1)))
735.       {
736.         document.write("<a href=\"http://ad.linx.cz/tam.asp?idserver=1308&idsekce=5142&pos=2&stat=1\" target=\"_top\">")
737.         document.write("<img src=\"http://ad.linx.cz/sem.asp?idserver=1308&idsekce=5142&pos=2&stat=1&ref="+document.referrer+"\" width=\"468\" height=\"60\" border=\"1\"></a>")
738.       }
739.     //-->
740.     </SCRIPT>
741. <CENTER>
742. <SCRIPT SRC="http://ad.linx.cz/sem.js?idserver=1308&idsekce=5142&pos=2&stat=1"></SCRIPT>
743. </CENTER>
744. <!-- ************ Mr.Lin(x) HTML CODE Version 3.5 (End) ************* -->
745.  
746.  
747. </BODY>
748.  
749. </HTML>
750.