‹ ‹ ‹ ‹ ‹ ‹ ‹В зараженном бутсекторе текстовые сообщения нормаль- ‹
‹ ‹ ‹ ‹ ‹ ‹ ‹ного бутсектора сохраняются. Дополнительно появляется‹
‹ ‹ ‹ ‹ ‹ ‹ ‹строка T1. По видимому других проявлений, помимо ‹
‹ ‹ ‹ ‹ ‹ ‹ ‹размножения и изменения меток вирус не имеет. ‹
‹ ‹ ‹ ‹ ‹ ‹ ‹ ‹
њњњњњњњњњњњњњњњњњњќњњњњњњњњќњњњќњќњќњњќњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњќњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњЊ
‹*# Microbes ‹B-hh ‹ ‹4‹<‹D ‹ ‹Индия(Бомбей): июнь 1990 ‹
‹ (Микроб) ‹ ‹ ‹ ‹ ‹M ‹8E D0 BC 00 F0 FB A1 13 04 2D 04 ‹Проявления неизвестны ‹
‹ ‹ ‹ ‹ ‹ ‹ ‹ ‹
њњњњњњњњњњњњњњњњњњќњњњњњњњњќњњњќњќњќњњќњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњќњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњЊ
‹*# Print Screen ‹ B-hh ‹PP ‹1‹ ‹D ‹ ‹Индия(Бомбей): ноябрь 1989, Neville Bulsara. ‹
‹ EB 21, ‹ ‹ ‹ ‹ ‹DR‹u 2K ‹Основан на Bx1-1C (Ping-Pong) и некоторые антивирус- ‹
‹ 8290, ‹ ‹ ‹ ‹ ‹M1‹7401BF0300B92000F3A4 /* штамм 2 */ ‹ные программы идентифицируют его ошибочно. ‹
‹ PRTSC Virus ‹ ‹ ‹ ‹ ‹M2‹CD05FEC8A26001C36F6E2D /штамм 1*/ ‹На дискетах копирует свой хвост в 11 сектор. ‹
‹ ‹ ‹ ‹ ‹ ‹ ‹На зараженных системах с винчестером наблюдается за- ‹
‹ ‹ ‹ ‹ ‹ ‹ ‹метное замедление доступа к диску. После каждых 255 ‹
‹ ‹ ‹ ‹ ‹ ‹ ‹дисковых операций выдает дамп экрана на принтер. ‹
‹ ‹ ‹ ‹ ‹ ‹ ‹Имееется более ранний штамм, в котором эта ветвь ‹
‹ ‹ ‹ ‹ ‹ ‹ ‹реализована с ошибкой и вирус только размножается ‹
‹ ‹ ‹ ‹ ‹ ‹ ‹ ‹
њњњњњњњњњњњњњњњњњњ™њњњњњњњњ™њњњ™њ™њ™њњ™њњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњ™њњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњ±

ПРИЛОЖЕНИЕ 5
Перечень отечественных антивирусных средств,
помещенных в выпусках электронного бюллетеня СОФТПАНОРАМА
њњњњњњњњљњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњ
Имя ‹ Назначение, разработчик, версии, условия распространения
њњњњњњњњ™њњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњ
AIDSTEST Полифаг, Лозинский Дмитрий Николаевич,
Москва, ГВЦ Госплана СССР, тел.(095)292-40-76(сл)
Верс.12 от 05.12.89 - СП 1.4 (FREEWARE)
Верс.18 от 10.01.90 - СП 2.1 (FREEWARE, I премия)
Верс.28 от 18.04.90 - СП 2.5 (FREEWARE)
Верс.54 от 24.10.90 - коммерч.продукт,
цена - 3 руб. (для организаций - 100 руб.)
Распр. - Научный центр СП "Диалог" при ВЦ АН СССР,
тел.(095)137-01-50

ANTI-KOT Полидетектор + полифаг, Котик Олег Генрихович, Москва
Версия от 28.10.89 - СП 1.2 (FREEWARE - Полидетектор)
Верс.3.60 от 07.05.90 - СП 2.5 (FREEWARE - Полидетектор)
ANTI-KOR Резидентный сторож, Котик Олег Генрихович, Москва
Верс.1.0 от 15.03.90 - СП 2.5 (FREEWARE)
Коммерческие продукты, цена 600-1000 руб.
Распространители - СП "Интермикро", тел.(095)267-32-10;
НТЭЦ "Сэканс", тел.(095)183-10-89

AV Полифаг, Сысоев Игорь Владимирович, Москва
Верс.1.8 от 27.02.90 - СП 2.4 (FREEWARE)
Верс.1.9 от 21.04.90 - СП 2.5 (FREEWARE)

AVB Универсальный бутовый детектор
Свиридов Игорь Анатольевич, Киев, тел.(044)263-87-70
Верс.2.11 от 04.06.90 - СП 2.6 (SHAREWARE)

CHECK Ревизор, Гонтарь Борис Борисович, Киев, тел.(044)265-68-73(сл)
Версия от 20.07.89 - СП 1.2 (FREE-SRC (С))

CHECK Ревизор, Судленков Геннадий Олегович, Минск, тел.(0172)55-84-42
Версия без даты - СП 2.7 (FREEWARE)

CHECK21 Резидентный сторож
Двоеглазов Игорь Михайлович, Киев, тел.(044)517-02-05 - суб,вск
Верс.3.3 без даты - СП 2.1 (FREEWARE, I премия)
Верс.4.5 от 30.03.90 - СП 2.4 (FREEWARE)

COM4VIR Ловушки для вирусов, Волынский Владимир Викторович,
EXE4VIR Москва, тел.(095)219-99-62
SYS4VIR Верс. от 05.03.90 - СП 2.8 (FREEWARE)

-D(-D3) Резидентный сторож,
Касперский Евгений Валентинович, Москва, тел.(095)482-60-05
Верс.1.0 от 13.03.90 - СП 2.4 (FREEWARE)
Верс.2.2 от 16.08.90 - СП 2.7, 2.8 (FREEWARE)
Верс.___ - коммерч.продукт, цена - 250 руб.
Распр. - МГП "Алиса", тел.(095)248-32-52

DET-NEW Полифаг, Судленков Геннадий Олегович, Минск, тел.(0172)55-84-42
Версия без даты - СП 2.7 (FREEWARE)

DI Ревизор, НИЦ Сунгуль
Верс. от 03.04.89 - СП 2.7 (FREEWARE)

DLI Ревизор, Герасимов Вадим Викторович, Москва
Верс.1.1 от 08.12.89 - СП 1.4 (FREEWARE, I премия)

DOCTOR Полифаг, Герасимов Вадим Викторович, Москва
Верс.2.08 от 10.11.89 - СП 1.4 (FREEWARE)

DOCTOR Полифаг
Чижов Антон Андреевич, Москва, СП ПараГраф, тел.(095)200-25-66
Верс.1.34/15/11 - СП 1.4 (FREEWARE)
Верс.1.42/16/11 - СП 2.1 (FREEWARE, II премия)

IWP Резидентный фильтр, Водяник Аркадий Григорьевич, Донецк
Верс.1.33 от 08.03.90 - СП 2.3 (FREEWARE)
Верс.____- коммерч.продукт, цена - 1300 руб (без платы),
2300 руб - с платой PORT WATCH CARD
Распр. - НПК БИС, тел.(0622)93-10-21

J-CHECK Ревизор, Базалий Юрий Алексеевич, Киев, тел.(044)227-25-41
Верс.1.3 от 18.09.89 - СП 2.1 (FREE-SRC)

K16 Полифаг
Сусликов Евгений Николаевич, Кемерово, тел.(3842)23-44-03
Верс.7.0 от 19.03.90 - СП 2.5 (FREEWARE)
(K32) Верс.8.0 от 24.07.90 - СП 2.7 (FREEWARE)

LD Полидетектор
Сусликов Евгений Николаевич, Кемерово, тел.(3842)23-44-03
Верс.2.0 от 24.03.90 - СП 2.5 (FREEWARE)
Верс.2.7 от 19.07.90 - СП 2.7 (FREEWARE)

NEATFAG Полифаг
Пономаренко Виталий Витальевич, Киев, тел.(044)484-19-84
Верс. от 27.02.90 - СП 2.7 (FREEWARE)

NEATVAC Резидентная вакцина
Пономаренко Виталий Витальевич, Киев, тел.(044)484-19-84
Верс.1.0 без даты - СП 2.7 (FREEWARE)

SBM Резидентный сторож, Еременко Василий Евгеньевич,
Мостовой Борис Михайлович, Киев, тел.(044)416-13-69
Верс.1.01 от 12.12.89 - СП 1.4 (FREEWARE, I премия)
Верс.1.03 от 06.04.90 - СП 2.4 (FREEWARE)

SPEEDCHK Ревизор, Шнайдер Лев Семенович, Киев, тел.(044)274-91-87
Верс.1.0 от 08.01.90 - СП 2.1 (FREE-SRC)

TANJA Универсальный фаг, Рудаков Юрий Валерьевич,
г.Жуковский Московской обл., тел.(095)556-80-42(сл)
Верс. от 27.04.90 - СП 2.5 (FREEWARE)

UNIVAC Универсальная вакцина, Бабанин Валерий Михайлович,
Тверь, тел.(222)6-61-64
Верс.1.0 от 12.09.90 - СП 2.8 (FREEWARE - ?)

-V Полифаг
Касперский Евгений Валентинович, Москва, тел.(095)482-60-05
Верс.2.0 от 24.08.90 - СП 2.7 (FREEWARE)
Верс.___ - коммерч.продукт, цена - 500 руб.
Распр. - МГП "Алиса", тел.(095)248-32-52

VDEATH Полифаг с "турбоинтерфейсом", Ревзин __________________,_______
Верс.7.2 от 04.10.89 - СП 1.4 (FREEWARE)

VI Вирусный интегратор
Шеховцов Александр Людвигович, Киев, тел.(044)266-00-97(сл)
Верс.1.1 от 11.12.89 - СП 1.4 (FREEWARE)
Верс.1.2 от 25.12.89 - СП 2.1 (FREEWARE)

VITAMINB Вакцина против бутовых вирусов, Сесса Александр В.
Днепропетровск, тел.(___)__________
Верс.1.0 от 10.10.90 - СП 2.8 (FREEWARE)

VL Полидетектор с вводом сигнатур для контекстного поиска
Шеховцов Александр Людвигович, Киев, тел.(044)266-00-97(сл)
Верс.1.3 от 12.12.89 - СП 1.4 (FREEWARE)
Верс.1.4 от 23.12.89 - СП 2.1 (FREEWARE, II премия)
Верс.2.0 от 09.09.90 - СП 2.7 (FREEWARE)

VR Полифаг, Осипенко Александр Сергеевич, Москва
Верс.3.47 от 10.01.90 - СП 2.1 (FREEWARE)
Верс.____- коммерч.продукт, цена - 950 руб.
Распр. - СП "Эпсилон", тел. (095)532-93-22
њњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњњ
ПРИМЕЧАНИЯ.
1. Обозначение СП указывает выпуск (том, номер) электронного
бюллетеня СОФТПАНОРАМА, содержащего данное средство. Указываются первое
и последнее включения в СП, а также участие в 1-м конкурсе
некоммерческих антивирусных средств (Киев, семинар "Системное
программирование", сентябрь 1989 г. - январь 1990 г.) для призеров
конкурса.
2. Способ распространения некоммерческих средств обозначен:
FREEWARE - свободно;
FREE-SRC - свободно с исходными текстами;
SHAREWARE- с частичной субсидией пользователями
(см. о способах FREEWARE и SHAREWARE файл read.me выпуска 2.8
электронного бюллетеня СОФТПАНОРАМА)
3. Указанная цена коммерческих версий является ориентировочной и в
конкретных случаях может зависеть от дополнительных условий поставки.
4. Последняя версия всех средств указана по данным автора на
октябрь 1990 г.
5. В списке не отражены многочисленные средства, включенные в СП и
рассчитанные на борьбу с одним конкретным видов вируса.

ПРИЛОЖЕНИЕ 6
НЕКОТОРЫЕ СВЕДЕНИЯ О ФАЙЛОВОЙ СИСТЕМЕ MS DOS

Существуют два основных типа дисков, используемых в MS DOS: гибкие
диски (дискеты) и твердые диски (винчестеры). В дальнейшем мы будем
рассматривать преимущественно дискеты, поскольку отличия в организации
информации между дискетами и винчестерами незначительны и касаются, в
основном, количественных характеристик. Впрочем, количественные характе-
ристики отличаются и для разных типов дискет (5- и 3-дюймовых, одно- и
двухсторонних и проч.). Поэтому для упрощения изложения далее везде бу-
дет предполагаться дискета 360К (2 стороны по 40 треков, 9 секторов на
трек).

Информация записывается на фиксированное число концентрических
окружностей, называемых треками или дорожками, на которые может быть
выставлена магнитная головка. Их количество зависит от типа дисковода и
дискеты. Обычная 360K пятидюймовая дискета (DS/DD) расчитана на запись
40 треков на каждой стороне. Треки нумеруются, начиная с нуля, причем
трек 0 расположен ближе к внешнему краю диска (имеет наибольший
радиус), а трек 39 - к внутреннему отверстию дискеты.

Имеются дискеты и другой емкости. Так дискеты DS/QD (720K) рассчитаны
для записи 80 треков (0-79). Опыт показал, что большинство дискет
DS/DD можно успешно размечать на 80 дорожек и использовать как DS/QD без
снижения надежности записи информации. Кроме того дисковод может вести
запись на 40 и более старшие дорожки (до 43) или на 80-83. В частности
41 дорожка часто используется для "защиты от копирования" - часть
информации размещается на нее и пропадает при обычном копировании.
Впрочем, имеются специальные программы (COPYIIPC, COPYWRITE),
позволяющие обходить простейшую реализацию такой защиты за счет
копирования "всего подряд". Бутовые вирусы также иногда используют 40
дорожку для хранения своего хвоста.

Каждый трек разделен на секторы, которые являются единицами
считывания и записи информации на диск. Любая операция чтения или записи
в конечном счете сводится к чтению или записи определенного числа
секторов. На одном треке для обычной дискеты располагаются девять
секторов. Каждый сектор обычно содержит 512 байтов. Операционная
система выделяет файлам единицы дискового пространства, называемые
кластерами. Для обычных двухсторонних дискет 360 К (DS/DD) кластер
состоит из двух секторов и имеет размер 1024 байта (1К). Даже если
размер файла меньше 1 К, операционная система выделяет файлу целый
кластер. Таким образом, кластер является минимальной единицей
распределения дискового пространства.

Количество секторов которое можно записать на дискету зависит от
качества дисковода. Обычные дисководы, позволяют записывать до 10
секторов на трек (формат 10 секторов:40 треков - 400K и 10 секторов:80
треков - 800K), а дисководы повышенного качества - 17 секторов на трек
(для дискет HD емкостью 1,2М используется разметка 80 дорожек по 15
секторов). Следует отметить, что если разметить дискету DS/DD (DS/QD) в
формате HD, то после записи информации обычно ее нельзя прочитать.

Хотя дискета имеет форму диска, операционная система рассматривает
ее как последовательность секторов от нулевого до максимального.
Последний зависит от емкости дискеты. При этом первые 12 секторов (0-11)
содержат управляющие блоки MS DOS для любого типа диска. Следует
отметить, что размеры управляющих блоков на дискете (FAT и каталога)
приведены для дискетты 360 Kb и могут отличаться от стандартных: их
размер хранится в бутсекторе и не является фиксированным.

Дальнейшее содержимое диска зависит от того, является ли он
системным или нет. Для обычного диска сектора, начиная с 12, содержат
данные.

Для системного диска сектора с 12-го заняты файлами IBMIO.COM и
IBMDOS.COM (IO.SYS и MSDOS.SYS). Эти файлы являются скрытыми и не видны
командой DIR. Для того, чтобы рассмотреть их, можно воспользоваться ути-
литами (Norton Commander, PCTools и т.д.). Помимо IBMIO.COM и IBMDOS.COM
на системном диске содержится файл COMMAND.COM (командный процессор).
Эта программа обеспечивает обработку вводимых команд и является одной из
наиболее часто используемых программ MS DOS. Поэтому она является излюб-
ленной мишенью для атаки файловыми вирусами. Дискета, содержащая
указанные три файла является минимальной конфигурацией операционной
системы MS DOS и ее удобно использовать в качестве дрозофилы для
бутовых вирусов. Поэтому приводимые в дальнейшем примеры ориентированы,
в основном на указанную минимальную конфигурацию:

ЎҐҐҐҐҐҐҐҐҐҐҐҐ©ҐҐҐ A:\ Ґ©ҐҐҐҐҐҐҐҐ©ҐҐҐҐҐҐ"
' Name ‹ Size ‹ Date ‹ Time '
'Ibmbio €com‹ 22100‹ 3-17-87‹12:00p'
'Ibmdos €com‹ 30159‹ 3-17-87‹12:00p'
'command com‹ 25307‹ 3-17-87‹12:00p'
' ‹ ‹ ‹ '

Структура управляющей информации на дискете

Первые 12 секторов (0-11) содержат три управляющих таблицы:
загрузчик (BOOT), таблицу распределения файлов (FAT), и корневой
каталог (root directory). Схема расположения этих секторов приведена на
рис.1.

ЎҐҐҐ©ҐҐҐ©ҐҐҐ©ҐҐҐ©ҐҐҐ©ҐҐҐ©ҐҐҐ©ҐҐҐ©ҐҐҐ©ҐҐҐ©ҐҐҐ©ҐҐҐ©ҐҐҐ©ҐҐҐ©Ґ. . .Ґ©ҐҐҐ"
' B ‹ F ‹ F ‹ F ‹ F ‹ R ‹ R ‹ R ‹ R ‹ R ‹ R ‹ R ‹ ‹ ‹ . . . ‹ '
ҐҐҐ§ҐҐҐ§ҐҐҐ§ҐҐҐ§ҐҐҐ§ҐҐҐ§ҐҐҐ§ҐҐҐ§ҐҐҐ§ҐҐҐ§ҐҐҐ§ҐҐҐ§ҐҐҐ§ҐҐҐ§Ґ. . .Ґ§ҐҐҐ"

а)

PC Tools Deluxe R4.30 Vol Label=None
њњњњњњњњњњњњњњњњњњњњњњњњњњњњњDisk Mapping Serviceњњњњњњњњњњњњњњњњњњњњњњ
Path=A:\*.*

Entire disk mapped 78% free space

Track 1 1 2 2 3 3 3
0 5 0 5 0 5 0 5 9
Double sided BhhhhhhrrrЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉ
FhhhhhhrrrЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉ
Side 0 FhhhhhhrrЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉ
DhhhhhhrrЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉ
----DhhhhhrrrЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉ
DhhhhhrrrЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉ
Side 1 hhhhhhrrrЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉ
hhhhhhrrrЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉ
hhhhhhrrrЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉЉ

Explanation of Codes
Љ Available Allocated
B Boot record h hidden
F File Alloc Table r Read Only
D Directory x Bad Cluster

"F" to map files. ESC to return.

б)

Рис.1. Расположение секторов на дискете.

а: схематическое представление (границы кластеров для системных
секторов не показаны, поскольку нумерация кластеров начинается со
второго). Используемые обозначения: B - бутсектор; F - FAT; R -
корневой каталог;

б: карта, выдаваемая в режиме MAP PC Tools (в случае, если на дискете
есть сбойные кластеры, которые могут возникнуть в результате заражения
бутовым вирусом, они отчетливо видны при просмотре карты на экране
дисплая в виде мигающих символов "х"). Дискеты, имеющие сбойные
кластеры, должны быть дополнительно исследованы.

Бутсектор

Бутсектор всегда размещается в нулевом секторе дискеты и содержит
сведения о формате дискеты, а также короткую программу - загрузчик.
Структура бутсектора показана на рис.2. Формат рисунка соответствует
формату дампа на экране дисплея - по 16 символов в строке, что облегчает
интерпретацию дампа

0 1 2 3 4 5 6 7 8 9 A B C D E F
®њњњњњњњљњњњЄњњњљњњњњњњњљњњњњњњњљњњњњњњњљњњњЄњњњљњњњЄњњњЄњњњњњњњЏ
00 'JMP xx xx ''I' 'B' 'M' '3' '.' '3''SectSiz'CS 'ResSecs'
џњњњЄњњњќњњњЇњњњќњњњЄњњњЄњњњ™њњњЄњњњ™њњњЄњњњЁњњњЄњњњЁњњњЇњњњ™њњњЋ њњќњњњ±
10 'Fat'RootSiz'TotSecs'Med'FatSize'TrkSecs'HeadCnt'HidnSec' '
џњњњЁњњњќњњњЁњњњќњњњЁњњњЁњњњ™њњњЁњњњ™њњњЁњњњ™њњњЁњњњ™њњњЁњњњ™њњњo
20 ' код загрузчика (в конце загрузчика всегда расположены диагно=
"њњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњЊ
30 стические сообщения и имена системных файлов)
Ѓњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњЊ

. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...

Ѓњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњЄњњњ™њњњЊ
1F0 ' 55 AA‹
Ѓњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњќњњњ™њњњЁњњњ™њњњ±

Рис.2. Структура бутсектора

Используемые обозначения:
JMP - NEAR-переход на начало загрузчика;
8 байт, содержащих произвольную информацию, обычно заносимую
программой форматирования диска;
SectSiz - количество байтов в одном секторе;
CS (ClustSiz) - количество секторов в одном кластере;
ResSecs - количество резервных секторов (перед FAT);
Fat (FatCnt) - количество FAT;
RootSiz - макс.число 32-байтовых элементов корневого каталога;
TotSecs - общее число секторов на носителе (разделе диска);
Med (Media) - дескриптор носителя (то же, что 1-й байт FAT);
FatSize - количество секторов в одной FAT;
TrkSecs - количество секторов в одном треке;
HeadCnt - число головок чтения/записи (поверхностей);
HidnSec - количество спрятанных секторов;
- размер форматированной порции корневого сектора.

Как видно из рис.2, сведения о программе, с помощью которой
выполнялось форматирование, расположены с 4 байта.

На рис.3 показан бутсектор двухсторонней дискеты двойной
плотности (2D-2S), содержащей 40 треков и размеченный программой
FORMAT MS DOS 3.3. Бутсектор винчестера отличается только таблицей
параметров. Программа загрузчик остается неизменной. Другие версии
операционной системы имеют несколько отличающийся от приведенного
загрузчик, однако его структура неизменна: в конце сектора всегда
имеется текст диагностического сообщения и имена системных файлов (на
рис.3 - IO.SYS и MSDOS.SYS; для PC DOS используются имена IBMBIO.COM и
IBMDOS.COM). В конце бутсектор всегда содержит два идентификационных
байта : 55h AAh.

Следует обратить внимание, что первые три байта стандартного
бутсектора MS DOS 3.3 содержат EB 34 90. Несовпадение этих байтов при
просмотре бутсектора должно сразу настораживать, поскольку может
свидетельствовать о заражении вирусом.

Absolute sector 0000000, System BOOT

Disp њњњњњњњњњњњњњњњњњ Hex codesњњњњњњњњњњњњњњњњњњњњ
place-00 01 02 03 04 05 06 07 08 09 0A‹OB 0C 0D 0E 0F
ment ‹SectSiz
‹ ‹ClustSiz
ІњњњJMPњњ- ‹ ‹ ‹ResSecs
‹ ‹ ‹ ‹ ‹
0000:‹EB 34 90‹4D 53 44 4F 53 33 2E 33‹00 02‹02‹01 00 .4.MSDOS3.3.....
0010: 02 70 00 D0 02 FD 02 00 09 00 02 00 00 00 00 00 .p..............
0020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 12 ................
0030: 00 00 00 00 01 00 FA 33 C0 8E D0 BC 00 7C 16 07 .......3.....|..
0040: BB 78 00 36 C5 37 1E 56 16 53 BF 2B 7C B9 0B 00 .x.6.7.V.S.+|...
0050: FC AC 26 80 3D 00 74 03 26 8A 05 AA 8A C4 E2 F1 ..&.=.t.&.......
0060: 06 1F 89 47 02 C7 07 2B 7C FB CD 13 72 67 A0 10 ...G...+|...rg..
0070: 7C 98 F7 26 16 7C 03 06 1C 7C 03 06 0E 7C A3 3F |..&.|...|...|.?
0080: 7C A3 37 7C B8 20 00 F7 26 11 7C 8B 1E 0B 7C 03 |.7|. ..&.|...|.
0090: C3 48 F7 F3 01 06 37 7C BB 00 05 A1 3F 7C E8 9F .H....7|....?|..
00A0: 00 B8 01 02 E8 B3 00 72 19 8B FB B9 0B 00 BE D6 .......r........
00B0: 7D F3 A6 75 0D 8D 7F 20 BE E1 7D B9 0B 00 F3 A6 }..u... ..}.....
00C0: 74 18 BE 77 7D E8 6A 00 32 E4 CD 16 5E 1F 8F 04 t..w}.j.2...^...
00D0: 8F 44 02 CD 19 BE C0 7D EB EB A1 1C 05 33 D2 F7 .D.....}.....3..
00E0: 36 0B 7C FE C0 A2 3C 7C A1 37 7C A3 3D 7C BB 00 6.|...<|.7|.=|..
00F0: 07 A1 37 7C E8 49 00 A1 18 7C 2A 06 3B 7C 40 38 ..7|.I...|*.;|@8
0100: 06 3C 7C 73 03 A0 3C 7C 50 E8 4E 00 58 72 C6 28 .<|s..<|P.N.Xr.(
0110: 06 3C 7C 74 0C 01 06 37 7C F7 26 0B 7C 03 D8 EB .<|t...7|.&.|...
0120: D0 8A 2E 15 7C 8A 16 FD 7D 8B 1E 3D 7C EA 00 00 ....|...}..=|...
0130: 70 00 AC 0A C0 74 22 B4 0E BB 07 00 CD 10 EB F2 p....t".........
0140: 33 D2 F7 36 18 7C FE C2 88 16 3B 7C 33 D2 F7 36 3..6.|....;|3..6
0150: 1A 7C 88 16 2A 7C A3 39 7C C3 B4 02 8B 16 39 7C .|..*|.9|.....9|
0160: B1 06 D2 E6 0A 36 3B 7C 8B CA 86 E9 8A 16 FD 7D .....6;|.......}
0170: 8A 36 2A 7C CD 13 C3 0D 0A 4E 6F 6E 2D 53 79 73 .6*|.....Non-Sys
0180: 74 65 6D 20 64 69 73 6B 20 6F 72 20 64 69 73 6B tem disk or disk
0190: 20 65 72 72 6F 72 0D 0A 52 65 70 6C 61 63 65 20 error..Replace
01A0: 61 6E 64 20 73 74 72 69 6B 65 20 61 6E 79 20 6B and strike any k
01B0: 65 79 20 77 68 65 6E 20 72 65 61 64 79 0D 0A 00 ey when ready...
01C0: 0D 0A 44 69 73 6B 20 42 6F 6F 74 20 66 61 69 6C ..Disk Boot fail
01D0: 75 72 65 0D 0A 00 49 4F 20 20 20 20 20 20 53 59 ure...IO SY
01E0: 53 4D 53 44 4F 53 20 20 20 53 59 53 00 00 00 00 SMSDOS SYS....
01F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA ..............U.
?њњљњњ±
?њњњ идентификационные
байты

Рис.3. Бутсектор дискеты 2D-2S, размеченной программой FORMAT

При интерпретации дампа следует обратить внимание на то, что
микропроцессор 8086 записывает в память машинное слово (2 байта)
в формате <младший байт><старший байт>. Поэтому при интерпретации
двухбайтовых полей для получения правильного значения следует
переставить байты местами. Например, поле SectSiz содержит «00 02″, т.е.
его значение равно 0200h — 512 байт.

Таблица распределения файлов (FAT)

На дискетах 360К под FAT отведены четыре сектора — текущее состоя-
ние FAT в секторах 1,2 и его копия в секторах 3,4. Дискеты 720К содержат
основную FAT в секторах 1,2,3 и ее копию в секторах 4,5,6.

FAT представляет собой карту дискового пространства, распределяемо-
го под файлы, и содержит по три шестнадцатеричные цифры для каждого име-
ющегося на диске кластера. Каталог (см. ниже) содержит номер первого
кластера, занятого файлом; в свою очередь, в каждом элементе содержится
указатель на следующий кластер файла. Если кластер является последним
кластером файла, то он содержит FFF.

Таким образом, MS DOS может отслеживать последовательность класте-
ров, принадлежавших файлу, независимо от фактического расположения их на
диске. Для незанятых кластеров указатель имеет 000. Если кластер повреж-
ден и MS DOS не может считать или записать в него информацию, то такой
кластер содержит FF7 (признак сбойного кластера), и MS DOS не использует
отмеченные таким образом кластеры при распределении.

Таблица распределения файлов по сути является односвязным списком,
который DOS использует для отслеживания физического расположения данных
на диске и для поиска свободной памяти для новых файлов. Слово по смеще-
нию 1Ah в элементе оглавления содержит номер первого кластера в цепочке
распределения файла. Соответствующий элемент FAT либо указывает конец
цепочки, либо ссылается на следующий элемент, и т.д.

FAT может состоять из 12-битовых или 16-битовых элементов. 12-бито-
вые элементы используются для дискет. 16-битовые элементы FAT были вве-
дены, начиная с DOS 3.0, когда возникла необходимость управления 20-ме-
габайтным винчестером.

Поскольку 12 битовые элементы трудно анализировать на обычном
дампе, для анализа FAT целесообразно использовать Norton Utilities,
выдающую разобранный на 12 битовые элементы (полуинтерпретированный) дамп
(рис.5).

Ў FAT area ҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐҐ FAT format Ґ»
‘ Sector 1 in 1st copy of FAT Cluster 2, hex 2 ‘
‘ ‘
‘ 3 4 5 6 7 8 9 10 11 12 13 14 ‘
‘ 15 16 17 18 19 20 21 22 23 25 26 ‘
‘ 27 28 29 30 31 32 33 34 35 36 37 38 ‘
‘ 39 40 41 42 43 44 45 46 47 48 49 50 ‘
‘ 51 52 53 55 56 57 58 59 60 61 62 ‘
‘ 63 64 65 66 67 68 69 70 71 72 73 74 ‘
‘ 75 76 77 78 0 0 0 0 0 0 0 ‘
‘ 0 0 0 0 0 0 0 0 0 0 0 0 ‘
‘ 0 0 0 0 0 0 0 0 0 0 0 0 ‘
‘ 0 0 0 0 0 0 0 0 0 0 0 0 ‘
‘ 0 0 0 0 0 0 0 0 0 0 0 0 ‘
‘ 0 0 0 0 0 0 0 0 0 0 0 0 ‘
‘ 0 0 0 0 0 0 0 0 0 0 0 0 ‘
‘ 0 0 0 0 0 0 0 0 0 0 0 0 ‘
‘ 0 0 0 0 0 0 0 0 0 0 0 0 ‘
‘ 0 0 0 0 0 0 0 0 0 0 0 0 ‘
‘ 0 0 0 0 0 0 0 0 0 0 0 0 ‘
‘ 0 0 0 0 0 0 0 0 0 0 0 0 ‘
‘ 0 0 0 0 0 0 0 0 0 0 0 0 ‘
‘ ‘
‘ Press Enter to continue ‘
1Help 2Hex 3Text 4Dir 5FAT 6Partn 7 8Choose 9Undo 10QuitNU

Рис.5. Полуинтерпретированный дамп FAT минимальной DOS,
полученный с помощью Norton Utilities

На рис. 5 отчетливо видны три цепочки кластеров для трех
имеющихся в минимальной DOS файлов. Если диск был предварительно сжат,
т.е. файлы расположены друг за другом и занимают последовательные
сектора (что имеет место для дискеты с минимальной DOS), цепочки
кластеров в FAT вырождаются в возрастающую последовательность номеров и
при минимальном навыке разрушенную FAT можно восстанавить вручную.
Поэтому регулярное сжатие диска с помощью утилиты NC или COMPRESS
является приемом, значительно повышающим надежность хранения информации.

Корневой каталог

MS DOS хранит информацию о файлах в каталогах, которые образуют
древовидную структуру. Корневой каталог хранит сведения о всех содержа-
щихся в нем файлах и подкаталогах. Он занимает семь секторов, начиная с
сектора 5. Каждый элемент корневого каталога занимает 32 байта. Очевид-
но, в одном секторе может разместиться 16 элементов. Это означает, что в
семи секторах корневого каталога могут быть описаны до 112 файлов и под-
каталогов. Структура каталога показана на рис.6.

0 1 2 3 4 5 6 7 8 9 A B C D E F
®њњњњњњњљњњњњњњњљњњњњњњњљњњњњњњњЄњњњњњњњљњњњЄњњњЄњњњњњњњљњњњњњњњ-
00 ‘ name ‘ ext ‘atr’ резерв ‹
њњњ™њњњќњњњ™њњњќњњњ™њњњЄњњњ™њњњЇњњњ™њњњЄњњњЁњњњЇњњњ™њњњќњњњ™њњњЊ

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128