[Alekseev_A.P.]_Informatika_2015(z-lib.org)
.pdf
Файловая система |
141 |
__________________________________________________________________________________
5.2. Файловая система
ЭВМ, как правило, имеет несколько дисков (внешних запоминающих устройств). Каждому диску присваивается имя, которое задается латинской буквой с двоеточием.
Физически существующие магнитные диски могут быть разбиты на несколько логических дисков, которые для пользователя будут выглядеть на экране монитора так же, как и физически существующие диски. При этом логические диски получают имена по тем же правилам, что и физически существующие диски. Проще говоря, логический диск — это часть обычного жесткого диска.
Диск, на котором записана операционная система, называется системным (или загрузочным) диском. В качестве
загрузочного диска чаще всего используется жесткий диск С. При лечении вирусов, системных сбоях загрузка операционной системы может осуществляться с флеш-носителя или внешнего жесткого диска.
Операционные системы позволяют каждому диску давать имена, которые отражают их содержание, например, Системный, Фото, Фильмы, Музыка, Книги, Документы, Дистрибутивы и т. д.
Для того чтобы на новый магнитный диск можно было записать информацию, он должен быть предвари-
дорожка |
тельно отформатирован. Форматиро- |
|
вание — это подготовка (разметка) |
||
|
диска для записи информации. |
|
|
В процессе форматирования на |
|
сектор |
диск записывается служебная инфор- |
|
мация (делается разметка), которая |
||
|
||
|
затем используется для записи и чте- |
|
|
ния информации, коррекции скорости |
вращения диска. Разметка производится с помощью электромагнитного поля, создаваемого записывающей головкой дисковода.
Запись информации осуществляется по дорожкам, причем каждая дорожка разбивается на секторы, например, по 1024 байта.
142 Файловая система
__________________________________________________________________________________
Для жесткого диска характерно еще одно понятие: цилиндр. Цилиндром винчестера называется совокупность дорожек с одинако-
выми порядковыми номерами, расположенных на разных дисках винчестера.
первая дорожка вторая дорожка
первый диск
первая дорожка вторая дорожка
второй диск
первая дорожка 
вторая дорожка
третий диск
На рисунке видны два цилиндра, образованные равноудаленными дорожками на трех дисках винчестера. При работе винчестера несколько головок одновременно считывают информацию с дорожек одного цилиндра.
В процессе форматирования на диске выделяется системная область, которая состоит из трех частей: загрузочного сектора, таблицы размещения файлов и корневого каталога.
Загрузочный сектор (Boot Record) размещается на каждом диске в логическом секторе с номером 0. Он содержит данные о формате диска, а также короткую программу, используемую в процедуре начальной загрузки операционной системы.
Загрузочный сектор создается во время форматирования диска. Если диск подготовлен как системный (загрузочный), то загрузочный сектор содержит программу загрузки операционной системы. В противном случае он содержит программу, которая при попытке загрузки с этого диска операционной системы выводит сообщение о том, что данный диск не является системным.
Каждый жесткий диск может быть разбит на несколько логических дисков. На жестком диске имеется область, которая называется главной загрузочной записью MBR (Master Boot Record) или главным загрузочным сектором. В MBR указывается, с какого логического диска должна производиться загрузка операционной системы.
Таблица размещения файлов (File Allocation Table — сокращенно
FAT) располагается после загрузочного сектора и содержит описание порядка расположения всех файлов в секторах данного диска, а также информа-
Файловая система |
143 |
__________________________________________________________________________________
цию о дефектных участках диска. За FAT-таблицей следует ее точная копия, что повышает надежность сохранения этой очень важной таблицы (это как бы запасной парашют).
Корневой каталог (Root Directory) находится за копией FAT. В корневом каталоге содержится перечень файлов и директорий, находящихся на диске. Непосредственно за корневым каталогом располагаются данные.
Запись информации на диск ведется частями. Наименьшее место, которое могут занимать на диске записываемые данные, составляет один кластер. Кластер может состоять из одного или нескольких секторов.
Данные и программы хранятся на носителях информации в виде файлов (от англ. file — досье, подшивка).
Файл — это набор взаимосвязанных данных, воспринимаемых компьютером как единое целое, имеющих общее имя, находящихся на
магнитном или оптическом дисках, в оперативной памяти, Flash-памяти или на другом носителе информации.
Файл обычно отождествляют с участком памяти (ВЗУ, ОЗУ, ПЗУ, Flash-памяти), где размещены логически связанные данные, имеющие общее имя. Файл хранится на носителе информации в двоичной системе счисления, и для ОС он представляется как совокупность байтов.
В файлах могут храниться тексты программ, документы, данные
и т. д.
На рисунке показаны два файла, расположенные последовательно друг за другом. Первый файл занимает два сектора, а второй файл — десять секторов. Если кластер состоит из двух секторов, то можно сказать, что первый файл состоит из одного класте-
второй файл |
ра, а второй файл — из пяти класте- |
ров. Легко заметить, что второй |
|
|
файл располагается на двух дорож- |
|
ках. Если файл большой, то он мо- |
первый файл |
жет занимать несколько дорожек. |
|
При записи информации на |
|
новый (чистый) диск файлы распо- |
лагаются последовательно друг за другом: от первой дорожки до последней. Заметим, что файлы всегда занимают целое число кластеров, поэтому в одном кластере не могут одновременно размещаться два даже небольших
файла. Обратите внимание на то, что если документ состоит всего из одной буквы, то файл все равно занимает на диске один отдельный кластер. При этом складывается достаточно парадоксальная ситуация: файл, содержащий
144 |
Файловая система |
|
|
|
|
__________________________________________________________________________________ |
|||||
одну букву текста, и файл, содержащий 1000 букв, занимают одинаковое |
|||||
место на диске. |
|
|
|
|
|
|
Папка — группа файлов, объединённых по какому-либо признаку. На |
||||
|
каждом диске может быть несколько папок. |
||||
|
В папках могут размещаться не только фай- |
||||
|
лы, но и другие папки. Таким образом, папки |
||||
|
образуют дерево (иерархию, файловую сис- |
||||
|
тему). |
На рисунке слава показано дерево па- |
|||
|
|
||||
|
пок одного из дисков. Из рисунка видно, что |
||||
|
в корневом каталоге имеется четыре папки: |
||||
|
A, B, C и D. При этом внутри папки A нахо- |
||||
|
дятся папки A1 и A2. В папке C располага- |
||||
|
ются папки C1 и C2. В папке A1 находится |
||||
|
папка A11, а в последней — папка A111. |
||||
|
Крестик на дереве говорит о том, что внутри |
||||
|
соответствующих папок |
находятся |
другие |
||
|
папки (внутри папок D и А12 находятся пап- |
||||
|
ки, которые не видны). На этом рисунке не |
||||
|
видны файлы, которые могут находиться как |
||||
|
в корневом каталоге, так и в любой папке. |
||||
|
Если бы файлы всегда хранились в последовательно расположенных |
||||
|
|
кластерах, то для указания |
|||
|
|
места расположения файла на |
|||
|
третий файл |
диске |
(с |
помощью |
FAT- |
|
|
таблицы) |
достаточно |
было |
|
|
второй файл |
указать номер первого сектора |
|||
|
|
(где |
располагается |
начало |
|
|
первый файл |
файла) и число занятых кла- |
|||
|
|
стеров. |
|
|
|
|
|
|
При |
многократной пе- |
|
|
|
резаписи и |
удалении |
файлов |
|
|
|
происходит |
фрагментация |
||
(дробление, разделение) дискового пространства. В результате при записи |
|||||
файл может оказаться разорванным и располагаться в кластерах, находя- |
|||||
щихся на относительно большом расстоянии друг от друга. Считывание та- |
|||||
ких файлов существенно замедляется, так как дисководу необходимо допол- |
|||||
нительное время для перемещения головок. Причина возникновения фраг- |
|||||
ментации состоит в том, что все файлы имеют, как правило, разную длину |
|||||
(точнее, разный объем). Поэтому после удаления какого-то файла новый |
|||||
файл не может точно вписаться в освободившееся на диске место. Практиче- |
|||||
ски обязательно либо останется свободный участок диска, либо заполнятся |
|||||
|
Файловая система |
145 |
|
__________________________________________________________________________________ |
|||
секторы, расположенные в другом месте диска (например, расположенные |
|||
через несколько секторов или на других дорожках). |
|||
|
|
|
В составе операционной сис- |
|
|
темы |
есть специальная системная |
|
|
программа (утилита), которая осу- |
|
|
|
ществляет дефрагментацию диска. |
|
|
|
Эта утилита располагает тело файла |
|
|
|
в соседних секторах, тем самым ус- |
|
|
|
коряет считывание информации (не |
|
|
|
нужно переходить на другие дорож- |
|
второй файл |
первый файл |
ки, пропускать чужие секторы) и |
|
уменьшает износ дисковода. |
|||
третий файл |
|
На рисунке показано диало- |
|
|
|
говое окно утилиты, предназначен- |
|
|
|
ной для упорядочивания разрознен- |
|
|
|
ных файлов. |
|
146 Вирусы и антивирусные программы
__________________________________________________________________________________
5.3. Вирусы и антивирусные программы
Дареному коню гляди в зубы – а вдруг он троянский?
Кароль Корд
Компьютерный вирус — это программа, способная самостоятельно создавать свои копии (не обязательно полностью совпадающие с оригиналом), внедрять их в различные объекты (приложения, файлы) или ресурсы ЭВМ, вычислительных систем, сетей и производить определенные действия без ведома пользователя. Распространение вируса происходит незаметно, скрытно.
Свое название компьютерный вирус получил за некоторое сходство с биологическим вирусом. Например, к заражённой программе прикрепляется другая программа-вирус. Причём инфицированная программа может длительное время работать штатно, без ошибок.
Программа, внутри которой находится вирус, называется заражённой
(инфицированной) программой.
Когда инфицированная программа начинает работу, то управление получает вирус. Вирус заражает другие программы, а также выполняет запланированные разработчиком вируса действия. Для маскировки своих действий вирус активизируется не всегда, а лишь при выполнении определенных условий (истечение некоторого времени, выполнение определенного числа операций, наступление некоторой даты или дня недели и т. д.).
После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится. Внешне заражённая программа может работать так же, как и обычная неинфицированная программа. Подобно настоящим вирусам, компьютерные вирусы действуют незаметно, размножаются и ищут возможность перейти на другие ЭВМ. Такими возможностями их наделяют программисты.
Таким образом, вирусы должны инфицировать ЭВМ скрытно, а активизироваться лишь через определенное время (время инкубации). Это необходимо для того, чтобы скрыть источник заражения. Вирусы не могут распространяться в полной изоляции от других программ. Они прикрепляются к телу полезных (нужных) программ. Постоянно появляются новые виды вирусов. Естественно, что они возникают не самостоятельно, а их создают программисты — вандалы.
Следующая таблица показывает динамику изменения числа вирусов.
Год |
1990 |
1994 |
1998 |
2002 |
2006 |
2013 |
|
Число |
500 |
4000 |
более |
более |
более |
более |
|
вирусов |
14000 |
60000 |
200000 |
1,8 млн. |
|||
|
|
Вирусы и антивирусные программы |
147 |
__________________________________________________________________________________
Вирусы выполняют различные действия:
выводят на экран мешающие текстовые сообщения (поздравления, политические лозунги, фразы с претензией на юмор, высказывания обиды от неразделенной любви, нецензурные выражения, рекламу, прославление любимых певцов, названия городов);
создают звуковые эффекты (проигрывают гимн, гамму или популярную мелодию);
создают видеоэффекты (переворачивают или сдвигают экран, имитируют землетрясение, вызывают опадание букв в тексте или симулируют снегопад, имитируют скачущий шарик, прыгающую точку, выводят на экран рисунки);
увеличивают износ оборудования (например, головок дисководов);
вызывают отказ отдельных устройств, зависание или перезагрузку компьютера и крах работы всей ЭВМ;
имитируют повторяющиеся ошибки работы операционной системы (например, с целью заключения договора на гарантированное обслуживание ЭВМ);
уничтожают FAT-таблицу, форматируют жесткий диск, стирают в ПЗУ BIOS, уничтожают или изменяют установки в CMOS, стирают секторы на диске, уничтожают или искажают данные, стирают антивирусные программы;
шифруют данные на жёстком диске с целью получения выкупа;
осуществляют научный, технический, промышленный, военный или финансовый шпионаж;
выводят из строя системы защиты информации, дают злоумышленникам тайный доступ к вычислительной машине;
делают незаконные отчисления с каждой финансовой операции;
обманным способом заманивают на заражённые Web-страницы и выманивают личные данные пользователя;
автоматически рассылают письма по адресам, указанным в адресной книге пользователя и т. д.
заражают не только отдельные ЭВМ, но и большие группы компьютеров, из которых злоумышленники создают так называемую bot-сеть. Эта сеть заражённых компьютеров используется зло-
умышленниками по своему усмотрению.
Вирусы представляют собой программы (скрипты), написанные на языках программирования высокого уровня, ассемблере или с применением макрокоманд (макросов).
Большая опасность вирусов состоит в том, что после инфицирования объекта они начинают жить собственной жизнью. Оборвать цепочку распространения вирусов достаточно сложно.
148 Вирусы и антивирусные программы
__________________________________________________________________________________
Основные симптомы вирусного заражения ЭВМ следующие.
Замедление работы некоторых программ.
Увеличение размеров файлов (особенно выполняемых).
Появление не существовавших ранее «странных» файлов.
Уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы).
Превращение всех значков на Рабочем столе в иное изображение, например, панды.
Внезапно возникающие разнообразные видео- и звуковые эффекты.
Появление сбоев в работе операционной системы (в том числе зависание).
Запись информации на жесткий диск в моменты времени, когда этого не должно происходить.
Прекращение работы или неправильная работа ранее нормально функционировавших программ.
Прерывание связи мобильных телефонов.
Первые исследования саморазмножающихся искусственных конструкций проводились в середине ХХ столетия. В работах фон Неймана, Винера и других учёных проведён математический анализ конечных автоматов, в том числе и самовоспроизводящихся.
Первый эксперимент по распространению вируса Ф. Коэн провёл 10 ноября 1983 г. в Университете Южной Калифорнии в рамках семинара по безопасности.
Большой общественный резонанс вызвало первое неконтролируемое распространение вируса в сети. Так 2 ноября 1988 г. двадцатитрехлетний студент последнего курса Корнельского университета Роберт Тэппэн Моррис запустил в сеть свою программу, которая из-за ошибки начала бесконтрольное распространение и многократное инфицирование узлов сети. В результате было заражено около 6200 машин, что составило 7,3% общей численности машин в сети. Впоследствии Моррис стал первым человеком, обвинённым в компьютерном мошенничестве.
Рассмотрим основные виды вирусов. Существует большое число различных классификаций вирусов.
По среде обитания они делятся на сетевые, файловые, загрузочные и файлово-загрузочные вирусы.
По способу заражения — на резидентные и нерезидентные вирусы. По степени опасности — на неопасные, опасные и очень опасные ви-
русы.
По особенностям алгоритма — на вирусы-компаньоны, паразитические вирусы, репликаторы (черви), невидимки (стелс), мутанты (призраки, полиморфные вирусы, полиморфики), макровирусы, троянские программы.
Вирусы и антивирусные программы |
149 |
__________________________________________________________________________________
По целостности — на монолитные и распределенные вирусы. Сетевые вирусы распространяются по различным компьютерным се-
тям. Примером является вирус Melissa.
Загрузочные вирусы внедряются в загрузочный сектор диска (Bootсектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record — MBR). Некоторые вирусы записывают своё тело в свободные секторы диска, помечая их в FAT-таблице как «плохие» (Bad cluster).
Файловые вирусы инфицируют исполняемые файлы компьютера, имеющие расширения com и exe. К этому же классу относятся и макровирусы, написанные помощью макрокоманд. Они заражают неисполняемые файлы (например, в текстовом редакторе MS Word или в электронных таблицах
MS Excel).
Загрузочно-файловые вирусы способны заражать и загрузочные секторы, и файлы.
Резидентные вирусы оставляют в оперативной памяти компьютера свою резидентную часть, которая затем перехватывает обращения неинфицированных программ к ОС, и внедряются в них. Свои действия по заражению других файлов резидентные вирусы могут выполнять многократно.
Нерезидентные вирусы не заражают оперативную память компьютера и проявляют свою активность лишь однократно при запуске инфицированной программы.
Действия вирусов могут быть не опасными, например, на экране появляется сообщение: «Хочу чучу». Если с клавиатуры набрать слово «чуча», то вирус временно «успокаивается». Значительно опаснее последствия действия вируса, который уничтожает файлы на диске.
Очень опасные вирусы самостоятельно форматируют жесткий диск и этим уничтожают всю имеющуюся информацию. Примером такого вируса может служить вирус CIH «Чернобыль», активизирующийся 26-го числа каждого месяца и способный уничтожать данные на жестком диске и в
BIOS.
Вирусы компаньоны — это вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE-файлов новые файлы-спутники (дубликаты), имеющие то же самое имя, но с расширением COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет одноименный EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т. е. вирус, который затем запустит и EXE-файл.
Паразитические вирусы при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. Например, они дописывают тело вируса в конец исполняемого файла. В эту группу относятся все вирусы, которые не являются «червями» или «компаньонами».
150 Вирусы и антивирусные программы
__________________________________________________________________________________
Вирусы-черви (worm) распространяются в компьютерной сети и, так же, как и вирусы-компаньоны, не изменяют файлы или секторы на дисках. Они проникают в память компьютера из компьютерной сети, находят сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Черви уменьшают пропускную способность сети, замедляют работу серверов.
Репликаторы могут размножаться без внедрения в другие программы и иметь «начинку» из компьютерных вирусов.
Вирусы-невидимки (стелс — Stealth) используют некоторый набор средств для маскировки своего присутствия в ЭВМ. Название вируса аналогично названию американского самолета-невидимки.
Стелс-вирусы трудно обнаружить, так как они перехватывают обращения операционной системы к пораженным файлам или секторам дисков и «подставляют» для проверки лишь незаражённые участки файлов.
Вирусы, которые шифруют собственное тело различными способами, называются полиморфными (polymorphic). Полиморфные вирусы (или ви- русы-призраки, вирусы-мутанты, полиморфики) достаточно трудно обнаружить, так как их копии практически не содержат полностью совпадающих участков кода. Это достигается тем, что в программы вирусов добавляются пустые команды (мусор), которые не изменяют алгоритм работы вируса, но затрудняют их выявление (путем изменения своего портрета, сигнатуры).
Наиболее «прославленный» из полиморфных вирусов — OneHalf. Макровирусы используют возможности макроязыков, встроенных в
системы обработки данных (текстовые редакторы и электронные таблицы). В настоящее время широко распространяются макровирусы, заражающие документы MS Word и MS Excel.
Ниже приводится пример действия макровируса, который исказил текст документа.
Компьтерный врус спецально соданная нбольшая рограмма способня присоеиняться другим рограмма ЭВМ, рамножатьс (создавть свои опии) и ыполнятьнежелатеьные дейтвия безведома пльзоватея.
Троянская программа маскируется под полезную или интересную программу (например, игру), выполняя во время своего функционирования еще и разрушительную работу (например, стирает FAT-таблицу) или собирает на компьютере информацию, не подлежащую разглашению. В отличие от вирусов, троянские программы не обладают свойством самовоспроизводства.