Vírusvédelmi technikák vizsgálata. Tanulmány. Veszprog Kft

Átírás

1 Vírusvédelmi technikák vizsgálata Tanulmány Veszprog Kft

2 Tartalomjegyzék Bevezetés Néhány alapfogalom Háttértárolók felépítése A diszkek fizikai felépítése Diszkek logikai felépítése Partíciók felépítése Directory- és fileszerkezet Diszkhozzáférési lehetőségek Fájlok és fájlrendszerek Hasznos és jóindulatú programok Spam Script nyelvek A VBScript A JavaScript A CorelScript IRC, mirc INF-ektorok A Unix ShellScript és a PERL Egyéb Script nyelvek Támadáspontok a rendszereken A DOS rendszerek gyenge pontjai Windows rendszerek támadható pontjai A Windows 9x/ME támadható pontjai A Windows NT és Windows 2000 támadható pontjai Az MS Office rendszerek gyengeségei Az Outlook programok biztonsága A Unix és Linux rendszerek támadható pontjai A Linux sem sebezhetetlen Malware, avagy rosszindulatú programok Vírusok A vírusok szerkezeti elemei és funkciói Vírusalfajok a terjedési mód szerint Bootvírusok Fájlvírusok Makróvírusok

3 Scriptvírusok Levelező vírusok Vírusalfajok a rejtőzködés eszközei szerint Felülíró vírusok Append (hozzáíró) vírusok Vírusátiratok, mutáló vírusok, polimorf vírusok Companion (CEB) vírusok Dropperek (pottyantók) Vírusgyártó kitek Multitarget (többcélpontú) vírusok Kis vírustörténelem Az 1960-as évek végétől az 1970-es évek elejéig Az 1970-es évek első felében Az 1980-as évek elején eseményei eseményei eseményei eseményei november december eseményei eseményei eseményei eseményei eseményei eseményei eseményei eseményei eseményei eseményei eseményei eseményei eseményei eseményei Programférgek (Wormok) Trójai programok

4 3.4. Backdoor programok, root-kitek Ismert (nevesebb) backdoor programok: Root-kitek Hoaxok, rémhírek, lánclevelek Hoax kategóriák Vakriasztások, rémhírek Városi mítoszok és legendák Ingyen Ajándékok (Give Aways) Zagyva, elévült, elavult figyelmeztetések (Inconsequential Warnings) Szimpátia-felkeltő levelek, segítségkérések másoknak Hagyományos lánclevelek (Traditional Chain Letters) Fenyegető lánclevelek (Threat Chains) Hamis céges levelek (Scam Chains) Tréfák (Jokes) Igazi legendák (True Legends) A Hoax levelek felismerése Vírusfejlesztő kitek Levelező vírusok Levelezés útján (is) terjedő bináris vírusok Klasszikus levelező programférgek Bináris kódú levelező vírusok A klasszikus makróvírusok és az elektronikus levelezés Scriptvírusok és a script alapú programférgek Nevezetes Internet wormok Levelező 32 bites programférgek Windows környezetben re szakosodott makróvírusok A levelező makróvírusok célpontjai Levelező Word makróvírusok Levelező Excel makróvírusok Levelező PowerPoint makróvírusok Többtámadáspontú levelező Office makróvírusok A megelőzés lehetőségei és eszközei Mit okozhatnak a levelező makróvírusok? Scriptvírusok, -férgek és dropperek VBScript malware JavaScript kártevők

5 CorelScript vírusok, férgek A LoveBug (LoveLetter) eset utóélete Backdoor típusú programok BackOrifice, BO BackOrifice 2000, BO2K NetBus Sub További backdoor programok Phase, Backdoor.Phase, Phase Server Védekezési stratégiák Néhány gyakorlati kérdés Miről ismerhető fel egy fertőzés? Mit okozhatnak a vírusok? - Vírus okozta károk A kárérték kiszámolása Miért nincsenek "hasznos" vírusok? Honnan jönnek a vandál programok? Kik írnak vírusokat? Miért írnak vírusokat? Miért eresztik rá a világra a vírusokat? Hackerek és crackerek Az információ szabad! A hackerek 12 parancsolata Egy hírhedt cracker - Kevin D. Mitnick Social Engineering (társadalommérnökség) A Chaos Computer Club (CCC) KGB-s Hackerek Miért veszélyesek az Internet wormok Mit okozhatnak? Megelőzés Biztonsági mentés Backup Biztonságos géphasználat Munka floppykkal Jelszavak használata Jelszónyilvántartás vállalati környezetben Képernyővédők használata A szabályos kikapcsolás fontossága

6 A szünetmentes áramellátás fontossága és biztosítása Szervezeti és szervezési eszközök Backup stratégiák Lemezek, programok, bejövő anyagok ellenőrzése Megelőző védekezés programférgek ellen Folyamatos ellenőrzés Antivírus- és adathelyreállító szoftverek On access keresők Ad hoc keresők Levelező rendszerek vírusvédelme Antivírus programok a srcipt- és makrókártevők ellen Az antivírus szoftverek adatbázisainak frissítése Vészhelyzetterv, katasztrófaterv Vállalati adatvédelmi és vírusvédelmi stratégiák, IBSZ Az oktatás szerepe és szükségessége A vírusmentesítés és az adathelyreállítás eszközei, lehetőségei, korlátai Víruskereső programok Víruseltávolító programok Backup és Restore, azaz Adatmentés és Visszaállítás Adatjavító, adat-helyreállító, adat-visszaállító programok A helyreállítás ismert korlátai Irodalomjegyzék Függelék

7 Bevezetés A számítógépvírusok és egyéb számítógépes programkártevők története az 1980-as évek elején kezdődött, bár egyes előzmények még ennél is régebbre nyúlnak vissza. Az előzmények közé kell sorolnunk az életjáték típusú programokat és természetesen a féregprogramokat. Ezek azonban csak elszigetelt, zárt rendszerekben léptek fel, terjedésük korlátozott volt, károkat nem okoztak. Kifejlesztésük célja egyfajta mesterséges intelligencia megalkotása volt, ami sikerült is. A helyzet csak akkor változott meg, és akkor vált nagy tömegeket érintő jelenséggé, amellyel már komolyan kellett foglalkozni, amikor tömegesen kerültek ki a nem programozói alapképzettségű felhasználókhoz az IBM által bevezetett számítógépek (vagyis a PC-k), valamint az IBM kompatibilis PC-kre írt programok és fejlesztőrendszerek. A mesterséges intelligenciákkal való, már nem csupán elméleti kutatások az Unix világában indultak, ám igazi kiterjedésüket az olcsó és mindenki számára hozzáférhető PC és a DOS, később a Windows és a könnyen megtanulható, hatékony eszközökkel rendelkező makró- és scriptnyelvek megjelenésének és széleskörű elterjedésének köszönhetik. A nyolcvanas években a víruskészítők a bootvírusok és a futtatható bináris kódot tartalmazó fájlvírusok fejlesztésére koncentráltak. Az 1990-es években nagy számban jelentek meg a vírusfejlesztő kitek, készletek, és ugyancsak az 1990-es évek második felére tehető a makróvírusok és scriptvírusok megjelenése és korábban elképzelhetetlen mértékű elterjedése. A nyolcvanas évek vége felé az információbiztonsági szakemberek és a vírusszakértők még jókat derültek, ha valaki olyan potenciális programkártevőkről (vírusokról, trójai programokról és programférgekről) vizionált, amelyek elektronikus leveleken keresztül terjedhetnek. Ez a nevetés mára erősen megkeseredett és okafogyottá vált. A vírusokkal foglalkozó központok, szervezetek és kutatók már 1997 első felében jeleztek olyan vadon, azaz már a zárt víruslaboratóriumokon kívül is előforduló és robbanásszerűen terjedő programkártevőket, amelyek szaporodásukhoz vagy büntetőrutinjaikhoz különféle, a megtámadott gépeken telepített és használt levelező programokat használtak fel. A VBScript, valamint JavaScript nyelven megírt vírusok és programférgek (wormok) első díszpéldányait még 1998 őszén csípték nyakon, 1999 első felében pedig a Melissa néven elhíresült Word makróvírus-család és a Papa néven közismertté vált Excel makróvírus-sorozat pusztításai borzolták fel világszerte a kedélyeket. Néhány hónappal később, de még ugyanazon év őszén és telén a BubbleBoy nevű VBScript programféreg szolgáltatott nem kevés munkát a vírusvadászoknak, a rendszergazdáknak, és nem utolsósorban az újságíróknak májusától az I love you (más néven a LoveBug vagy LoveLetter), pár héttel később ennek egy speciális átirata, a New love, majd júniusban a VBS.Stages néven 7

8 elhíresült Internet programférgek tették próbára az Outlook ügyfélprogramokat alkalmazó levelező rendszereket, és számos esetben egészen a működésképtelenségig terhelték túl azokat. Az I love you család névadó példányának megalkotóját az FBI a helyi hatóságokkal karöltve fogta el. A hírek szerint várható, hogy ezúttal végre példásan szigorú bírói ítélettel honorálják majd a programféreg és átiratai által okozott több milliárd dolláros veszteségeket eredményező akciót. Természetesen tanulmányunkban külön fejezetet kapnak a Melissa és az I love you eset eseményei, történései. Ez akár önmagában is igen tanulságos olvasmány lehet a hálózatbiztonságért felelős vezetők és az Outlook levelező program megrögzött használói számára. Összeállításunkban kiemelten is foglalkozunk két fő víruscsaláddal, a makróvírusokkal és a scriptvírusokkal. Bemutatjuk e programkártevők működésének főbb alapelveit, támadáspontjaikat, eddig megismert és várható típusaikat. Áttekintjük, milyen károkat okozhatnak, hol és hogyan támadnak, miként akadályozható meg bejutásuk védeni kívánt rendszereinkbe. Foglalkozunk a fertőzések felismerésének és megelőzésének lehetőségeivel, eszközeivel, valamint azokkal a halaszthatatlan teendőkkel is, amelyeket sorban el kell végeznünk, amennyiben gépeinken, rendszereinken valamilyen vírusfertőzésre gyanakszunk. Külön fejezetet kap a vírusmentesítés és az okozott károk helyreállítása. A fent említett dokumentum-kártevők bemutatásán túl áttekintően összefoglaljuk a Magyarországon szélesebb körben elterjedt/használt anti-vírus szoftverek lehetőségeit, korlátait, előnyeit és gyengéit. Lehetőségeinkhez mérten részletesen ismertetjük azokat a beállításokat, amelyeket módosítanunk kell a víruskereső programok alapértelmezett gyári beállításain, hogy az esetleges fertőzéseket jó hatásfokkal megtalálhassuk és azokat eredményesen ki is iktathassuk a bejövő levelekről, valamint az Internetről, a BBS-ekről vagy egyes bizonytalan forrásokból beszerzett CD lemezekről letöltött fájlokról. Összeállításunk megírását többéves gyűjtő, elemző és rendszerező munka előzte meg. Elkészítéséhez rengeteg segítséget kaptunk a hazai vírusvadászoktól és a nemzetközi forgalomban is lévő anti-vírus szoftverek hazai szakképviseleteitől, akik vírusismertetésekkel, mintákkal, sajtóanyagokkal segítettek, valamint programjaik tiszteletpéldányaival. 8

9 1. Néhány alapfogalom Összeállításunkat nem csupán az információbiztonsággal foglalkozó szakmabelieknek szánjuk, hanem meglehetősen széles olvasókörnek. Reményeink szerint egyaránt hasznos információforrásul szolgál mind a számítógépekkel professzionális módon dolgozó rendszergazdák, mind a számítógépükkel most ismerkedő, az Internet gazdag világát felfedező felhasználók számára. A vírusok működésének megértéséhez és az ellenük való védekezésre történő felkészüléshez szükség van néhány informatikai, számítástechnikai alapfogalom megismerésére és elfogadására. Aki már gyakorlott géphasználó és nem csak felhasználója, de ismerője is a számítógépeknek, az átugorhatja e fejezet lapjait, bár azt javasoljuk, hogy a közös nevező érdekében legalább egyszer olvassa el, mi mit értünk e fogalmak alatt. A számítógépek programkártevői, a vírusok, programférgek, trójai programok, időzített bombák, stb. nem maguktól, nem a semmiből keletkeznek. Létrejöttüket programozói tudással vagy automatikus programfejlesztő készlettel rendelkező, viszont az alapvető erkölcsi neveltetést nélkülöző programozóknak, hackereknek és crackereknek köszönhetik. Egy backdoor program önmagában semmiképp sem vírus, bár a vírusok elméletileg rendelkezhetnek backdoor szolgáltatásokkal, és a trójai programok sem vírusok, bár egyes vírusok trójai programokon keresztül is terjedhetnek, vagy büntetésként trójai programokat is elengedhetnek. Ezekre bőségesen találhatunk példát a magyar és angol nyelvű szakirodalomban. A számítógép alapvető részei a központi egység és a perifériák. A központi egység tartalmazza az alaplapot és fizikai memóriát, valamint a BIOS-t és a CMOS memóriát. Ezekről érdemes tudni, mi is a funkciójuk. Minden számítógépnek van valamilyen operációs rendszere, amely a gépbe épített hardverelemek (memória, háttértárak, bővítőkártyák, ki- és bemeneti eszközök, perifériák, stb.) működését fogja össze, és lehetővé teszi a számítógéppel való kommunikációt és a programok, szoftverek futtatását. A számítógépek és háttértáraik nem mentesek a hibáktól, s ugyanez igaz a programokra, ráadásul mi felhasználók sem vagyunk tökéletesek. Éppen ezért feltétlenül érdemes gondoskodni adataink rendszeres biztonsági mentéséről, valamint arról is, hogy képesek legyünk a mentett anyagok tetszés szerinti visszaállítására. 9

10 A továbbiakban hat idetartozó témakört tekintünk át részletesebben: - Háttértárolók felépítése - Fájlok és fájlrendszerek - Hasznos és jóindulatú programok - Spam - Script nyelvek 1.1. Háttértárolók felépítése A számítógépes vírusok fertőzésük során a számítógép háttértárán valamilyen programterületet fertőznek meg. A vírusok működésének a megértéséhez alapvető szükség van a háttértárolók belső felépítésének a megismerésére A diszkek fizikai felépítése A diszkek kétdimenziós felületű lemezekből épülnek fel. A floppy diszkek egy lemezt, a merevlemezek általában több lemezt tartalmaznak. A lemezeknek mind a két oldalát használják, mind a két oldalon találhatók író/olvasó fejek (head). Előfordulhat azonban, hogy a merevlemez egy lemezoldalát szinkronizálási célokra használják. Egy-egy lemezoldal kétdimenziós felépítésű: sávoknak (track, vagy cylinder) nevezett körgyűrűkre, minden körgyűrű szektorokra van osztva. Egy szektor mérete a diszk formázásának a függvénye, MS- DOS operációs rendszer alatt általában 512 byte. Megjegyzés: Elképzelhető, hogy egyes oprációs rendszerek ettől eltérő szektorméretet használnak. Például a TandomDOS 1024 byte-os szektorokat kezel, ami néhány vírus esetén problémákat okoz. A Cluster Buster (vagy DIR2/FAT) vírus feltételezi, hogy egy szektor mérete 512 byte, így a TandomDOS rendszerű gépeken a fertőzés révén a fertőzött programok használhatatlanná válnak. Mind az egyes lemezoldalak, azaz az író/olvasó fejek (head), mind a sávok (cylinder), mind pedig a sávokon belüli szektorok (sector) sorszámozottak. A sector-szám 1-től, a cylinder- és a head-szám pedig 0-tól kezdődik. Így egy szektort a (cylinder, head, sector) hármassal azonosíthatunk. A merevlemez szektorainak ezt az azonosítási módját fizikai címzésnek nevezzük. A merevlemez szektorai logikailag egy meghatározott sorrendet alkotnak. Ebben a sorrendben az első helyen a 0. cylinder 0. head-jének szektorai állnak (1-től kezdődően). Ezt 10

11 követik a 0. cylinder 1. head-jének szektorai, majd a 0. cylinder utolsó head-jének szektorai után az 1. cylinder 0. head-jének szektorai következnek. Így a merevlemez egy szektorára a szektor sorszámával is hivatkozhatunk. A szektoroknak ezt az azonosítási módját abszolút címzésnek nevezzük, ahol tehát az 1-es abszolút című szektor fizikai paraméterei: 0. cylinder, 0. head, 1. sector. A merevlemezek paramétereit (cylinder-szám, head-szám, sector-szám) a CMOS memória tartalmazza Diszkek logikai felépítése A diszkeket kezelő operációs rendszerek a merevlemezeket logikai egységekre partíciókra osztják. A partíciókra osztás operációs rendszertől, hálózati rendszertől független. Az egyes partíciók információit (kezdet, vég, boot-olható vagy sem) a partíciós táblázat tartalmazza, amely a partíciós táblában vagy más néven Master Boot Recordban (MBR) található. Az MBR a partíciók információin, a partíciós táblázaton túlmenően egy programrészletet is tartalmaz, amely a gép bekapcsolásakor, illetve minden boot-oláskor hajtódik végre. Megjegyzés: Az MBR és a partíciós tábla egyaránt ugyanazt, a lemezegység fizikailag első szektorát (0.head, 0.cylinder, 1.sector) jelenti. A partíciós táblázat viszont ennek a szektornak csupán a partíciós információkat tartalmazó részét (1BEh címtől kezdődően). 1. ábra: Merevlemezek partíciókra osztása 11

12 Mint az az ábrán látható, a 0. cylinder 0.head 1. szektora az MBR, a 0. cylinder 0.head-jének többi szektora pedig nem tartozik egyetlen partícióhoz sem. Általában igaz ugyanis, hogy az első partíció nem az MBR-t követő szektorral kezdődik, hanem a 0.cylinder 1.head 1.sectorral. Megjegyzés: Boot-oláskor a ROM-ban lévő BIOS program indul el, amely elvégzi a szükséges inicializálásokat, teszteléseket, majd betölti a boot-lemez fizikailag első szektorát (0.head, 0.cylinder, 1.sector), és a betöltött szektor elejére adja a vezérlést. Floppy lemezek esetén (ahol egy partíció található), a partíció első szektora hajtódik végre. Merevlemezek esetén az MBR töltődik be, melynek programja megkeresi partíciós táblázatban az első bootolható partíciót, betölti annak első szektorát és annak az elejére adja a vezérlést. A partíciós táblázat maximum négy partíció információit tartalmazza. A DOS operációs rendszer ennél több logikai partíciót is képes kezelni. Ehhez úgynevezett Extended partíciót hoz létre, amelyet logikailag további egységekre oszt Partíciók felépítése A DOS operációs rendszer a partíciókat, mint logikai egységeket további részekre osztja. Egy partíció DOS-szektorokra osztódik. Megjegyzés: A szakirodalomban a fizikailag elérhető szektorok, és a DOS-on keresztül elérhető szektorok esetén is a szektor elnevezést használja. A könnyebb áttekinthetőség kedvéért a DOS-on keresztül kezelhető szektorokat DOS-szektoroknak nevezzük. A DOS-szektorok szintén sorszámozottak, 0-tól kezdődően. A 0. szektor tartalmazza a partíció Boot-sector-át. Ezt követi a File Allocation Table (FAT, File Allokációs Tábla) két példányban, majd a Root Directory (Főkönyvtár), és végül a Data Area (Adatterület), amely a partíción elhelyezett alkönyvtárakat, illetve file-okat tartalmazza. Ezt a címzési módszert DOS szektor címzésnek nevezzük. A 0. szektor, a boot-sector felépítése az MS-DOS operációs rendszer esetén részletesen [1]-ben a 199 oldalon található. A lényegesebb változók az alábbiak: 12

13 Eltolás Méret Tartalom Jelentés +3 8 Name A formázó program, illetve operációs rendszer neve. +0Bh 2 SectSize Egy szektor mérete byte-okban. +0Dh 1 ClustSize +0Eh 2 ResSecs Egy cluster mérete szektorokban. Foglalt szektorok száma az 1. FAT előtt. +10h 1 FatCnt A FAT-ek száma. +11h 2 RootSize A főkönyvtár bejegyzéseinek a száma. +13h 2 TotSecs A partíció mérete szektorokban. +15h 1 Media A lemez médialeíró byte-ja: 0F8h: merevlemez 0F9h-0FFh: floppy lemez +16h 2 FatSize Egy FAT mérete szektorokban. +18h 2 CylSecs Egy sáv mérete szektorokban. +1Ah 2 HeadCnt A head-ek száma. +1Ch 2 HidnSecs Rejtett szektorok Directory- és fileszerkezet A lemezegységen lévő file-ok és alkönyvtárak a partíció adatterületén találhatók. Az adatterület cluster-ekre osztódik, melyek 2-től kezdődően sorszámozottak. Egy-egy cluster a szektorméret egész számú többszöröse. A cluster-ek tartalmazzák az alkönyvtárak és a file-ok információit. Minden alkönyvtárhoz és minden file-hoz (ha az nem 0 byte hosszúságú) egy cluster-sorozat tartozik. Alkönyvtárak esetén ezek a clusterek tartalmazzák az alkönyvtárban elhelyezett további alkönyvtárak, illetve file-ok információit. Minden file-hoz és alkönyvtárhoz tartozik egy könyvtár-bejegyzés (directory entry), amely tehát a "tartalmazó" alkönyvtár cluster-sorozatában, míg a főkönyvtár esetén a főkönyvtárnak fenntartott helyen található. Ez utóbbi független a clusterektől, egy fix hosszúságú szekvenciális DOS-sector- 13

14 sorozatot jelent. A file-okhoz, illetve alkönyvtárakhoz tarozó könyvtár-bejegyzés felépítése MS-DOS 5.00 esetén az alábbi: Eltolás Méret Tartalom Jelentés +0 8 FileName +8 3 Ext A file neve balra igazítva, végét a ' ' jelzi, ha nem tölti ki az összes byte-ot. A file kiterjesztése balra igazítva, végét a ' ' jelzi, ha nem tölti ki az összes byte-ot. +0Bh 1 Attr A file attributuma. +0Ch 0Ah Reserved DOS számára fenntartott. +16h 2 Time +18h 2 Date +1Ah 2 FirstCuls A file létrehozásának, illetve utolsó módosításának ideje. A file létrehozásának, illetve utolsó módosításának ideje. A file tartalmának első clustere. +1Ch 4 > Size A file mérete. A könyvtár-bejegyzés tartalmazza a file-ok, illetve alkönytárak cluster-sorozatának első elemét (FirstClus). A cluster-lánc további tagjait a FAT írja le (2. ábra). A FAT tábla minden egyes clusterhez tartalmaz ugyanis egy értéket, ami a következő cluster-számot jelenti. A FAT bejegyzések a partíció cluster-számának függvényében 12 vagy 16 bitesek lehetnek. A FAT bejegyzések 0-tól sorszámozottak. Az első két FAT bejegyzés speciális jelentéssel bír. Ennek első byte-ja a lemezegység Media leíró byte-ja, melynek meg kell egyeznie a bootsector Media leíró byte-jával. A többi byte (12 bites FAT esetén 2 byte, 16 bites FAT esetén 3 byte) értéke FFh. A FAT-bejegyzések a láncoláson túlmenően speciális tartalommal is rendelkezhetnek. Ezek a következők: (0)000h (F)FF0h - (F)FF6h (F)FF7h (F)FF8h - (F)FFFh üres cluster. fenntartott cluster. hibás cluster. a cluster-lánc vége. 14

15 2. ábra: Clusterek láncolása Az ábrán szereplő példában az egyszerűség kedvéért a FAT 8 bit, azaz egy byte méretű. Egy file kezelése során tehát a könyvtárbejegyzésből kiindulva clusterenként kell olvasni a file tartalmat. Ezt a kezelési módszert DOS cluster címzésnek nevezzük Diszkhozzáférési lehetőségek A lemezegységek tartalma többféleképpen érhető el. Hagyományos működést feltételezve a felhasználói program a DOS operációs rendszerhez fordul, amely a ROM-ban lévő BIOS programját használja a diszk eléréséhez. A BIOS pedig vagy közvetlenül fordul a hardwarehez I/O utasítások segítségével vagy előfordulhat, hogy a lemezkezelő kontroller kártya külön eprom-ot, saját ROM programot tartalmaz, amely elvégzi a lemezegység kezelését. Ezen ROM program is végső soron I/O utasításokat használ. Szerencsére nem létezik még olyan számítógépes vírus, amely I/O utasítások segítségével terjedne. Ez a megoldás ugyanis csak ugyanazon a lemezkezelő kontroller kártyán működne csak megbízhatóan. A legalacsonyabb szintű általánosan használható lemezkezelési módszer a BIOS programjának használata. A lemezkezelés a 13h-as interrupt meghívásával valósítható meg, amely fizikailag kezeli a lemezegységet, azaz hívási paraméterként az elérni kívánt szektor fizikai címét (head, cylinder, sector) kell megadni. A DOS operációs rendszer többfajta lemezkezelési eljárást is biztosít. A lemezegységeken elhelyezett file-ok, alkönyvtárak kezelésére a 21h-es interrupt több alfunkciója is lehetőséget nyújt. A DOS partíciók DOS-szektoronkénti kezelése a 25h-ös, illetve a 26h-os interrupton keresztül lehetséges. Itt hívási paraméterként az elérni kívánt szektor DOS szektor címét kell megadni. Az operációs rendszer a lemezkezelésre device driver-eken keresztül is lehetőséget biztosít. 15

16 A különböző lemezkezelési műveletek az elérni kívánt szektor paramétereit más és más címzés szerint igénylik. Szükség van tehát ezen címzési módok közötti konverzióra, átváltásra. A képletekben szereplő valamennyi dőlt betűs változó a boot sector változója, a vastag betűs változók pedig a partíciós táblázatban találhatók. DOS cluster-szám <--> DOS sector-szám A főkönyvtár által elfoglalt szektorok száma: RootDirSects = (RootSize * 32) / SectSize A FAT-ek által elfoglalt szektorok száma: FATSecs = FatCnt * FatSize Az első adatszektor DOS szektor címe: DataStart = ResSecs + RootDirSecs + FATSecs Mindezek után megadhatjuk a CLUSTER sorszámú cluster első szektorának DOS szektor címét: DOSSect = DataStart + (CLUSTER-2) * ClustSize Hasonlóan a SECTOR DOS szektor-számú szektort tartalmazó cluster sorszáma: CLUSTER = (DOSSect - DataStart) / ClustSize + 2, feltéve, ha CLUSTER > 2. Abszolút sector-szám <--> DOS sector-szám A DOSSect DOS szektorszámú szektor abszolút szektorcíme: AbsSect = DOSSect + RelSecs Az AbsSect abszolút szektorcímzésű szektor DOS szektorszáma: DOSSect = AbsSect - RelSecs Az utóbbi képlet esetén természetesen feltételezzük, hogy 0 Ł DOSSect < PartSize. 16

17 Abszolút sector-szám <--> Fizikai paraméterek Az AbsSect abszolút szektorszámú szektor fizikai paraméterei: SECT = (AbsSect -1) % SectNum + 1 HEAD = ((AbsSect -1) / SectNum) % HeadCnt CYL = ((AbsSect -1) / SectNum) / HeadCnt A (CYL, HEAD, SECT) fizikai paraméterű szektor abszolút szektorszáma: AbsSect = CYL * HeadCnt * SectNum + + HEAD * SectNum + SECT Az egy sáv egy oldalán lévő szektorok számát a CMOS tartalmazza, de a boot szektor ismeretében is számítható: SectNum = CylSecs / HeadCnt 1.2. Fájlok és fájlrendszerek A számítógépek programjaikat és adataikat a háttértárakon elhelyezkedő megfelelő fájl- és könyvtárrendszerekben tárolják. E fájlrendszerek némelyike általánosan elfogadott és használt (például a FAT16), mások az adott operációs rendszer által alkalmazott egyedi megoldások (HPFS az OS/2-nél, NTFS az NT-nél, FAT32 a Windows rendszereken vagy az Ext2fs és Ext3fs a Linux változatoknál). A fájlrendszerek különbözősége sok egyéb mellett a bootvírusok működésére, életképességére" is alaposan kihat. A 16 bites FAT-ra írt bootvírusok képesek arra, hogy egy fertőzött floppyról indítva a számítógépet megfertőzzék a merevlemezt, tekintet nélkül arra, hogy azon milyen fájlrendszer lett korábban telepítve. Így akár egy Novell, egy HPFS vagy egy NTFS partíciót is megfertőzhet egy 16 bites bootvírus, bár az igaz, hogy onnan már nem fog tovább fertőzni, hiszen a partíciós tábla és a bootszektor sérülése miatt (a vírus ezeket felülírja) már nem töltődik be az operációs rendszer, és így a számítógép a fertőzés előtti állapot helyreállításáig használhatatlanná válik. Amennyiben gondoskodunk arról, hogy gépeink ne indulhassanak floppyról (csak a CMOS setup-ban kell a bootsorrendet megfelelően beállítani, például C only, vagy C-A esetleg C-CD-A, stb.), a bootvírusoknak nem lesz többé esélye hagyományos" technológiákat alkalmazva bejutni a gépbe. 17

18 A fájlokat elvileg két csoportra oszthatjuk: programokra és adatfájlokra. Azonban a valóságban már nem ilyen egyértelmű a helyzet. Egyrészt amíg futtatni nem próbáljuk, a rendszer a programfájlokat is közönséges adatfájlokként tárolja, másrészt az interpreter (értelmező) típusú makró- és script nyelvek (WordBasic, Visual Basic, JavaScript, CorelScript, stb.) megjelenésével, s a különböző Windowsos alkalmazásokban való robbanásszerű elterjedésével ma már a dokumentumfájlok is tartalmazhatnak és nagy számban tartalmaznak is futtatható programkódot. A DOS-nál a fájlok típusát a kiterjesztés (is) jelezte. Ezt az örökséget a Windows és az OS/2 is tovább vitte, s általános gyakorlat az, hogy a kiterjesztésekhez programindítási lehetőséget lehet operációs rendszer szinten kötni. A számtalan kiterjesztés közül néhány tucat általánosan ismert és használják is, másokkal csak a hozzájuk tartozó programok telepítésekor találkozhatunk. A leggyakoribb fájlkiterjesztések Az operációs rendszer által végrehajtható programfájlok.com Bináris programkódot tartalmazható futtatható program.exe Bináris programkódot tartalmazható futtatható program.bat Kötegelt parancsfájl batch és DOS parancsokkal.sys Bináris programkódot tartalmaz (a CONFIG.SYS kivételével).drv Bináris programkódot tartalmaz.dll Bináris programkódot tartalmaz.ocx Bináris programkódot tartalmaz.vxd Bináris programkódot tartalmaz.bin Bináris programkódot tartalmaz.scr Bináris programkódot tartalmaz Konfigurációs, inicializáló fájlok.kbd Billentyűkiosztást tartalmazó segédfájl.ttf TrueType fontfájl.inf Telepítési segédfájl, amely a telepítési és beállítási adatokat tartalmazza.cfg Konfigurációs állomány.bak Biztonsági másolat.tmp Átmeneti állomány, amelyet az azt létrehozó programok a futás végén törölnek.ini Windows konfigurációs fájlok.reg Registry fájlok 18

19 Szövegfájlok.TXT Egyszerű szövegfájl.asc Egyszerű ASCII szövegfájl.doc Word dokumentumfájl.dot Word sablonfájl.ppt PowerPoint prezentáció.rtf Rich Text formátumú dokumentumfájl.xls Excel számolótábla fájl.htm Weboldal HTML (HyperText Markup Language) formátumban.html Adatbázis fájlok.dbf dbase adatbázisfájl.prg dbase vagy egyéb xbase programfájl.ndx dbase indexállomány Képfájlok.GIF Tömörített képfájl.jpg Tömörített képfájl.bmp Bittérképes grafika.tif Képfájl.PCX Képfájl.WMF Windows Meta File, klipfájlok MS Office alatt.pdf.hlp Dokumentum- és súgófájlok Adobe Acrobat nyomtatható dokumentumfájl Windows súgófájl Microsoft Reader dokumentumfájlja Hangfájlok.WAV Hangfájl.MP3 Erősen tömörített zenei fájlformátum.mod Zenei fájlformátum 19

20 Tömörített fájlok.zip Tömörített archívumfájl, amit PKZIP vagy PKZIP-klón programokkal kezelhetünk.arj Tömörített ARJ archívumfájl.rar RAR/WinRAR, Linux RAR tömörített archívumfájlja.tgz Tar/GZip tömörített archívumfájl.cab A Microsoft által használt (tömörített) kabinetfájl 1. táblázat Egyéb kiterjesztések ügyében az operációs rendszerek kézikönyvei és a használt programok kézikönyvei további támpontot adnak. A felsorolt és a további kiterjesztésekről részletesebb információ az FFE (File Format Encyclopedia) aktuális kiadásában (például a SAC programgyűjteményében) található [1]. A szoftverek típusait pénzügyi-terjesztési szempontból vizsgálva kereskedelmi, shareware, freeware és még néhány egyéb kategóriába sorolhatjuk. Adattartalom szerint program-, konfigurációs-, segéd- és adatfájlokat szokás emlegetni. Az adatfájlok között különösen kiemelkedik a szövegfájlok fontossága. A rendszerint.txt kiterjesztésű valódi szövegfájlokon kívül tágabb értelemben ide tartoznak a Word.DOC kiterjesztésű dokumentumfájlok is, amelyeknek belső szerkezete a bennük tárolt formázások, makrók, képek és egyéb objektumok miatt sokkal közelebb áll a bináris kódot tartalmazó programfájlokéhoz. A program és dokumentumfájlok szerkezete rendszerint kötött, az adott adattípusra jellemző struktúrákat tartalmaznak, így vírusellenőrzéskor jelentősen lerövidíthető az ellenőrzés időszükséglete, ha nem az egész néha több megabájtos fájlt kell ellenőrizni, hanem csupán azon részeit, amelyekbe víruskód épülhet Hasznos és jóindulatú programok Hasznosnak akkor nevezünk egy programot, ha valamely számunkra előnyös feladatot végez, tudunk jelenlétéről és működéséről. A hasznos program legálisan, vagyis szándékaink szerint van és működik gépünkben. Minden olyan programot, amely utólagosan, a felhasználó szándéka, sőt tudomása nélkül vagy annak ellenére kerül a gépre, rosszindulatú programnak kell tekintenünk, függetlenül attól, hogy a programban vannak-e kifejezetten pusztító, romboló célú rutinok, algoritmusok vagy sem. 20