Скажите, есть ли такие вирусы(трояны и другая нечисть) которые держатся даже после полного форматирования жёсткого диска???
Printable View
Скажите, есть ли такие вирусы(трояны и другая нечисть) которые держатся даже после полного форматирования жёсткого диска???
Буткит.
ага иммено они ;)
[URL="http://virusinfo.info/showthread.php?t=51211"]Буткит обходит шифрование жесткого диска[/URL]
И как с ЭТИМ бороться ?
[B]Boriss72[/B], перезаписать MBR, загрузившись из консоли восстановления или загрузочного LiveCD диска.
[B]VV2006[/B], [QUOTE]перезаписать MBR[/QUOTE] и очень вероятно не избавится от него ;) ибо
загрузчик это:
1.МБР 1 сектор
2. передает управления бутзагрузчику, первого активного диска N секторов.
вот буткит может сидеть как в мбр так и (или) в BOOT блоке!.
кстити а откуда такое название ;) буткит ([B]boot[/B] kit)
Ясненьнко ! Проблема лечится при помощи молотка и ... матери !
[QUOTE]Ясненьнко ! Проблема лечится при помощи молотка и ... матери ![/QUOTE]
именно так., ибо fixmbr спасет только от данного конкретного экзэмпляра, при том что уже версия 2 непубличная активно обсуждается.,
//во времена бурного расцвета DOS мбр и бут зловреды были основными, вот и лечилось тупо дискэдитом., ну сейчас могу предложить WinHex ;)
а т.к. все доходчиво разжевано да с примерами в статье., то ждем нового витка овна с применением технологий и наработок бут/мбр загрузки.
ЗЫ рекомендую поподробней почитать первоисточник по Stoned Bootkit там правда непорусски, но более правильно все разжевано, без смысловых ошибок.
[QUOTE]Ясненьнко ! Проблема лечится при помощи молотка и ... матери ![/QUOTE]
:) Попробуем всё же перейти от физического уровня к логическому:
для Windows XP цепочку загрузки условно-грубо можно обозначить так: BIOS-->MBR (Boot Loader&PT)-->PBR-->ntldr-->FS и т.д.
Понятное дело, различные утилиты перезаписи MBR перезаписывают не всю MBR, а её стандартную (не уникальную как PT) часть - Boot (Partition) Loader.
Если уж речь заходит о возможности заражения и загрузочного сектора активного (загрузочного) раздела, так почему же не перезаписать - чтоб два раза не ходить - и его? ;)
У M$ для этого есть отличная утилька: [URL="http://technet.microsoft.com/ru-ru/library/cc749177(WS.10).aspx"]BootSect[/URL].
Вообще, экзотические буткиты - колоссы на глинянных ногах: прятаться им особо-то и негде, а умереть они могут позорной для них смертью - даже не от антивирусов! :)
CureIt вам в руки, он буткиты лечит даже из-под заражённой системы.
+ [url]http://www.esagelab.ru/resources.php?n=4[/url]