CIH.1003 - How to recover from the virus attack?

У е б Д и з а й н - Виртуални Интерактивни Светове

Тайните на УебДизайн разкрити...

вируси

Как да възстановите уеб страниците си от твърдия диск
след вирусна атака? (...дори ако вече е форматиран! )

За потребителите на Интернет е важно да знаят как да се пред-
пазват от компютърни вируси. Ние посветихме тази страница на те-
мата за вирусите, защото медията, в която работим, а някои от нас вероятно и живеят, е един от най-лесните начини за разпростране-
нието им. Случайните и безразборни контакти винаги са били опасни,
дори и само виртуални!

CIH.1003 - чудовищното бедствие
на 1999. Има ли надежда за оце-
ляване на PC света?

Има стотици страници за антивирусни
програми с информация как да предпазим
компютъра си от вирусна атака. Но малко
или съвсем нищо за това, как да възстано-
вим щетите, след като вирусът е вече ак-
тивиран. Особено когато последствията
са бедствени, колкото след тези на CIH.
CIH, CIH.1003, Чернобил - всички те са
имена на един от най-жестоките PC виру-
си "под" Win95/98 появявали се някога до-
сега. Известно е, че CIH е първият вирус,
който атакува BIOS-а когато последният е

Дори тази страница да
пристига в браузера ти
твърде късно след пос-
ледната атака на CIH (26
Април 1999), можеш да
използваш програмата
за бъдещи нужди (да па-
зи Бог!). Тя се нарича
aftercih.exe (след CIH)
и ще извлече всички уеб
страници от поразения
от CIH твърд диск или от
друг глухоням диск с
разрушени FAT-ове.

реализиран с flash EPROM (реализация при новите дъна). Все пак то-
ва е по-малкото зло, тъй като BIOS-ът може да се препрограмира и
напълно възстанови. Най-лошото се случва, когато вирусът атакува
твърдия диск. Той поврежда partition таблиците и FAT-овете, които са
ключът за правилното четене и интерпретиране на информацията от
твърдия диск

За незапознатия потребител, на когото тези съкращения не говорят нищо, ще уточня, че резултатът от споменатото по-горе е пълната "липса" на твърдия диск, структурата на директориите и файловете. Когато това се случи, дискът трябва да се форматира, за да се подготви отново за съхраняване на информация.
THE HOT SOLUTION
За нещастие поражение от такъв тип е изключително тежко и твърде малко може да се направи, за да бъде спасена информацията на твърдия диск. Ако не беше толкова важно за нас да запазим уеб страниците, ние нямаше да започнем да търсим решение на проблема. Нашият колега и приятел Огнян Чернокожев (Jogy) ни помогна да възстановим част от файловете на два твърди диска.
Програмата afercih.exe извлича HTML файловете от твърд диск пострадал от вируса CIH. Вероятно има много други подобни вируси и в действителност е без значение как се наричат те, когато резултатът е същият - липса на достъп до твърдия диск. Програмата ще работи и в тези случаи. Тя ще възстанови уеб страниците дори след пресен формат на диска, преди още да е запълнен с любимите приложения и игри.

Програмата ще помогне на уеб дизайнери, които разработват уеб страници или на потребители, които съхраняват ценна документация и книги във вид на HTML файлове да възстановят изгубената информация. Сорс кодът е открит и достъпен. Можете да го подобрявате, за да направите програмата способна да възстановява и други типове файлове.

Download aftercih.exe тук. Изпращайте вашите коментари и препоръки на автора на програмата Jogy. Ние ще публикуваме всяко подобрение и други решения на сходни проблеми на тази страница.

Сорс кода на aftercih.cpp: #include <iostream.h> #include <fstream.h> #include <dos.h> #include <dir.h> #include <string.h> #include <stdio.h> void ReadSectors(int head, int cylinder, int sector, char *buf) { int val = (cylinder << 6) + sector + 1; unsigned int seg = FP_SEG(buf); unsigned int ofs = FP_OFF(buf); union REGS regs; struct SREGS sregs; regs.h.ah = 2; regs.h.dl = 0x81; regs.h.dh = head; regs.x.cx = val; regs.h.al = 1; regs.x.bx = ofs; sregs.es = seg; int86x(0x13, ®s, ®s, &sregs); } main() { int heads; int cylinders; int sectors; int fileno; int start_head; int start_cylinder; char fname[MAXPATH]; char path[MAXPATH]; cout << endl << "Cylinders: "; cin >> cylinders; cout << endl << "Heads: "; cin >> heads; cout << endl << "Sectors: "; cin >> sectors; cout << endl << "Start cylinder: "; cin >> start_cylinder; cout << endl << "Start head: "; cin >> start_head; cout << endl << "Path for saving files: "; cin >> path; if (path[strlen(path) - 1] != '\\') strcat(path, "\\"); cout << endl << "Start file no: "; cin >> fileno; char buf[512]; ofstream ofs; bool inHTML = false; long count = 0; asm { mov ah,0 mov dl,0x81 int 0x13 }; for (int cylinder = start_cylinder; cylinder < cylinders; cylinder++) { for (int head = start_head; head < heads; head++) { cout << "Head: " << head << " \tCylinder: " << cylinder << endl; for (int sector = 0; sector < sectors; sector ++) { ReadSectors(head, cylinder, sector, buf); for (int index = 0; index < 512; index++) { if (!inHTML) { if (strnicmp(buf + index, "<HTML>", 6) == 0) { inHTML = true; sprintf(fname, "%s%d.htm", path, fileno++); cout << "File: " << fname << endl; ofs.open(fname); } } else { if (buf[index] == '\0' || count > 65536l || strnicmp(buf + index, "</HTML>", 7) == 0) { inHTML = false; ofs << "</HTML>" << endl; ofs.close(); count = 0; } } if (inHTML) { ofs.put(buf[index]); count++; } } } } start_head = 0; } return 0; }

Инструкции за работа с aftercih.exe

1. Необходим ви е втори твърд диск, способен за работа в режим на DOS (WinNT DOS емулация не става, DOS промпт под Win95/98 не работи добре - трябва да излезете в DOS с exit to DOS). Този диск трябва да бъде primary master диск на вашата система и да се появи като C:\>_.

2. Разрушеният диск може да бъде primary slave или secondary. Той трябва да бъде разпознат като съществуващо устройство при първоначалните тестове на BIOS-а, но след това няма да се вижда като D:\>_ например. Прочетете физическите му параметри - броя на цилиндрите, главите и секторите. Те са написани върху корпуса на диска. Можете да използвате и програмата diskedit.exe от Norton utilities за същата цел. Тези параметри са изключително важни, тъй като aftercih.exe ги изпозва при четенето на физическите сектори на твърдия диск.

3. Копирайте aftercih.exe в главната директория на c:\. Създайте директория, в която ще се записват възстановените файлове, например C:\SURVIVED (добре е името на директорията да е до 8 символа). Излезте в DOS или ако досега сте работили в DOS, стартирайте aftercih.exe. Програмата последователно ще изиска да въведете 7 параметъра - първите 3 са броя на цилиндрите, главите и секторите на разрушения твърд диск (за един 2.1G диск тези параметри могат да изглеждат така - 1024, 64, 200). Следващите два параметъра са номера на цилиндъра и номера на главата, от които да започне четенето. Ако стартирате програмата за първи път, въведете нули. След това въведете пътя на директорията, в която ще се записват файловете (същата, която вече създадохте - C:\SURVIVED>). В последното поле въведете номера на първия файл (който ще бъде и името му), който ще бъде записан. Ако стартирате програмата за първи път, въведете нула. Процесът на четене и извличане може да продължи няколко часа. Можете да прекъснете програмата по всяко време с CTRL-C, а след това да я стартирате отново като укажете нови начални номера на цилиндър, глава и име на файл (полета 4, 5 и 7). Останалите данни трябва да бъдат същите).

Как работи програмата:

Програмата използва една характерна особеност на HTML документите. Всички те започват с начален етикет <HTML> и завършват с </HTML>. Друга особеност, която улеснява възстановяването е, че уеб старниците са прости ASCII кодирани текстови файлове. Програмата прочита цялото съдържание на заразения твърд диск байт по байт и сектор след сектор, като извлича информацията, която се намира между етикетите <HTML> и </HTML>.

Един интересен факт е, че сред възстановените файлове ще намерите множество сходни версии на един и същ файл, ако последният е бил разработен на диска и записван многократно след всяка промяна. Причината за това е, че всяка по-нова версия се записва физически на ново място (когато има достатъчно свободно място върху диска), а старите версии не се изтриват, а просто FAT-овете престават да пазят информацията за тях (къде точно се намират, как се фрагментирани и др.)

Как могат да се възстановят и други типове файлове:

Трудно е (но мисля, че е възможно) да се дефинират маркери и за всеки друг тип файлове. Някаква информация, еднозначно определяща типа на файла може да се търси в заглавната му част (file header). Необходимо е да се познава още и специфичната интерпретация на данните за дадения файлов тип. Ако искате да възстановите текст на латиница без значение от разширението на файла (.TXT, .DOC, .CPP, или друг сорс код) можете да го направите с програмата diskedit. Използвайте функцията find и въведете ключова дума, която със сигурност присъства в текста.

заглавна
страница

Copyright © -1997 УебДизайн ООД. Всички права запазени.
Този документ (текст и графика) не може да бъде копиран (изцяло или негови части)
без писмено разрешение от авторите. Всяко нарушение ще бъде преследвано с пълна сила от закона.