13 listopada 2014

Infekcja komputera: krajobraz po katastrofie

Infekcja komputera: krajobraz po katastrofie


Autor: Andrzej Witbrot


Kluczem do bezpieczeństwa komputera jest zapobieganie zagrożeniom i wykorzystywanie wszelkich możliwych sposobów na zabezpieczenie systemu przed infekcjami złośliwym oprogramowaniem zanim one nastąpią. Co jednak, gdy do infekcji już dojdzie?


Nie ma niczego odkrywczego w stwierdzeniu, że wszyscy staramy się chronić swoje komputery przed zagrożeniami, tak samo, jak chronimy się przed przeziębieniem kiedy nadchodzą jesienne słoty. Dobrze wiadomo jednak, że nie zawsze udaje nam się ustrzec przed grypą, nic więc dziwnego, że czasem także nasz komputer, pomimo zabezpieczeń, może zostać zainfekowany. Żaden program antywirusowy nie daje stuprocentowej gwarancji bezpieczeństwa. Jeśli nawet w testach osiąga wynik 99,9% wykrywalności, to należy mieć świadomość, że pozostały promil z liczby kilkuset tysięcy testowanych próbek złośliwego oprogramowania daje kilkaset potencjalnych e-zagrożeń, które mogą wymknąć się spod kontroli i narobić szkód. Często sami sprzyjamy niebezpiecznym sytuacjom przez złe nawyki i lenistwo – nie lubimy zmieniać haseł, lekceważymy wyświetlane komunikaty, dla własnej wygody obniżamy poziom zabezpieczeń.

Złośliwe oprogramowanie

Jak od dawna alarmują analitycy, oprócz olbrzymiego wzrostu ilości wzrasta również jakość szkodliwego oprogramowania. Nowe zagrożenia wykazują coraz większą złożoność, coraz szersze spektrum możliwości rozprzestrzeniania się i infekowania komputerów, coraz lepszą umiejętność maskowania się w systemie oraz omijania istniejących zabezpieczeń.

Chociaż w świadomości użytkowników najbardziej typowym zagrożeniem wciąż jest wirus komputerowy, w rzeczywistości jest to obecnie rzadziej spotykany napastnik, ustępujący pola swym krewniakom, jak robaki czy konie trojańskie. Klasyfikacja złośliwego oprogramowania rozróżnia przynajmniej kilkanaście różnorodnych typów, odmiennych pod względem funkcji, sposobów działania i przenoszenia. Oprócz wirusów, których charakterystyczną cechą jest obecność nosiciela (wirus dołącza się do innych plików), można wymienić wspomniane wcześniej trojany, czyli programy ukrywające swe zdradzieckie cele; robaki - samodzielne programy o szkodliwym działaniu; backdoory otwierające tylną furtkę i umożliwiające intruzom zdalne zarządzanie systemem; keyloggery śledzące naciśnięcia klawiszy; programy szpiegujące aktywność użytkowników (spyware), wyświetlające niechciane reklamy (adware), dialery łączące się poprzez drogie numery dostępowe, exploity wykorzystujące luki w oprogramowaniu i systemie, rootkity ukrywające inne niebezpieczne procesy; ataki phishingowe, pharmingowe, wstrzykiwanie kodu etc.

W zależności od rodzaju zagrożenia, różne są także źródła zarażenia i różne sposoby reagowania na zaistniałą infekcję. System może zostać zarażony przez spreparowaną lub przejętą przez napastnika stronę www, przez użycie zainfekowanego nośnika np. karty pamięci albo pendriva, uruchomienie szkodliwego programu, otwarcie załącznika e-mail ze szkodliwą zawartością, zezwolenie aplikacji na wykonanie niepożądanych działań, nieprzemyślane udostępnienie zasobów, zaniedbanie ochrony lub regularnej aktualizacji oprogramowania.

Identyfikacja infekcji i ocena ryzyka

Wczesne wykrycie infekcji systemu jest niezwykle istotne i może zaważyć na powodzeniu całej operacji ratowania danych z zarażonego komputera. Jest to moment, w którym często najwięcej zależy od użytkownika komputera i tego, czy zostaną zauważone przejawy nietypowej aktywności oraz dziwnych zachowań programów i systemu. Jak zostało już powiedziane we wstępie, zainstalowane oprogramowanie antywirusowe niekoniecznie stanowi tu gwarancję bezpieczeństwa, ponieważ tempo rozprzestrzeniania się epidemii szkodliwego oprogramowania bywa nadzwyczaj szybkie i dla jej powstrzymania niezwykle ważny jest czas pomiędzy pojawieniem się epidemii, a uaktywnieniem się skutecznej ochrony, czyli uaktualnieniem bazy sygnatur programu antywirusowego – w sytuacji, gdy malware skutecznie ominął ochronę proaktywną. Przez ten czas, trwający od jednej do nawet kilkudziesięciu godzin, właśnie użytkownik jest w stanie rozpoznać objawy zarażenia systemu. Symptomami mogą być bardzo różne zachowania – na przykład pojawianie się dziwnych okien i reklam, wyłączenie się programu antywirusowego albo zapory, nagłe spowolnienie pracy komputera, otrzymywanie odpowiedzi z serwerów pocztowych na niewysyłane wiadomości, niestabilna praca systemu, zawieszanie się programów, niemożność wchodzenia na niektóre strony, zwłaszcza producentów oprogramowania antywirusowego, wyłączanie się komputera itp. Naturalnie, o wiele łatwiejsza do opanowania jest infekcja rozpoznana przez oprogramowanie antywirusowe – można wówczas oprzeć się na wskazówkach producenta danego oprogramowania. Ekstremalnym przypadkiem infekcji jest takie uszkodzenie plików systemowych lub nawet podzespołów komputera, że niemożliwe jest jego uruchomienie.

Po stwierdzeniu nietypowej aktywności pierwszą ważną czynnością jest ocena ryzyka występujących nieprawidłowości. Nie każde podejrzane zachowanie musi oznaczać infekcję. W tym momencie wymagana jest odrobina wyczucia, aby wykluczyć fałszywy alarm, lub nie poddać się panice przy spotkaniu z żartem komputerowym, a jednocześnie nie zlekceważyć symptomów poważnego zagrożenia.

Opanowanie sytuacji w obliczu infekcji

Pierwszym krokiem na drodze do opanowania infekcji jest zapobieżenie jej rozprzestrzenieniu zarówno w sensie zarażenia kolejnych komputerów, jak i pobierania kolejnych złośliwych programów przez działający w systemie malware. W tym celu dobrze jest odłączyć zarażony komputer od sieci, lub w inny sposób maksymalnie odizolować go od innych komputerów.

Jeśli infekcja dotyczy nowego, nieznanego zagrożenia, należy w miarę możliwości skontaktować się z producentem lub dostawcą używanego programu antywirusowego, czy też innego oprogramowania zabezpieczającego, i zgłosić zaistniały problem. Prawdopodobnie niezbędne będzie dostarczenie próbek złośliwego oprogramowania, czy też innych informacji w postaci logów systemowych, raportów programu antywirusowego itp. Większość producentów oprogramowania do ochrony danych umożliwia dostarczenie próbek szkodliwego oprogramowania, umieszczając na swoich stronach stosowne informacje.

Oczyszczanie i przywracanie systemu

W celu skutecznego oczyszczenia i zabezpieczenia systemu konieczne może być przeanalizowanie rodzaju infekcji i jej charakteru. Idealnie, gdyby tego rodzaju analiza została przeprowadzona przez specjalistę zajmującego się bezpieczeństwem informatycznym przy pomocy specjalistycznych narzędzi do badania systemu, pozwalających zebrać odpowiednie dane na temat modyfikacji rejestru dokonanych przez malware, uruchamianych przez niego procesów, obecności procesów ukrywających funkcjonowanie złośliwego oprogramowania (rootkitów), zapisanych kopii szkodliwych programów i innych plików, otwartych portów, udostępnionych zasobów itp.

Często złośliwe oprogramowanie utrudnia lub uniemożliwia dokonywanie czynności diagnostycznych i naprawczych, na przykład blokując funkcje systemowe takie jak menedżer zadań Windows czy narzędzia konfiguracji systemu. W takim wypadku można spróbować wykonać restart komputera w trybie awaryjnym, w którym ograniczona do minimum zostaje liczba uruchomionych elementów systemu. W skrajnych przypadkach konieczne może okazać się posłużenie dodatkową płytą bootowalną, jeśli istnieje problem z wystartowaniem systemu w normalny sposób. Może być to zresztą jeden ze sposobów na odratowanie ważnych danych z dysku twardego, jeśli istnieje ryzyko, że infekcja spowoduje nieodwracalne uszkodzenia plików. Najlepszym rodzajem płyty bootowalnej, w przypadku infekcji złośliwym oprogramowaniem, jest dysk ratunkowy zawierający oprogramowanie do zwalczania szkodników. Wykonanie takiej płyty umożliwiają niektórzy producenci oprogramowania antywirusowego, nośniki w postaci plików ISO można także pobrać z sieci (na przykład tutaj)

Wszelkie podejrzane procesy, wpisy w sekwencji startowej, albo pliki i foldery w katalogu systemowym dobrze jest sprawdzić wyszukując informacje w Internecie. Często można w ten sposób odnaleźć niezwykle cenne porady innych użytkowników i administratorów, którzy z takim lub podobnym problemem zetknęli się już wcześniej. Jeśli pozwalają na to warunki, zainfekowany komputer można poddać kwarantannie do czasu pojawienia się szczepionek zwalczających dane zagrożenie przez program antywirusowy.

Przy tym wszystkim nie należy tracić z oczu najważniejszego celu procesu oczyszczania systemu ze szkodliwego oprogramowania, jakim jest zapobieżenie utracie danych – czy to przez ich trwałe uszkodzenie, czy też kradzież lub udostępnienie niepowołanym osobom. Przywracanie systemu do stanu pełnej używalności może odbyć się na trzy sposoby.

- Wyczyszczenie komputera z malware'u oraz usunięcie lub naprawienie uszkodzonych plików.
- Odtworzenie systemu z kopii zapasowej.
- Odbudowanie systemu od początku.

Wariant drugi możliwy jest tylko pod warunkiem, że wykonana została wcześniej kopia zapasowa, w dodatku nie ma pewności, że backup wolny jest od złośliwego oprogramowania, ponieważ niektóre ze szkodników są tak zaprojektowane, aby uaktywniać swoje niszczycielskie zachowania z pewnym opóźnieniem, a przywrócenie takiej kopii zapasowej spowoduje ponowną infekcję. To samo dotyczy punktów przywracania, ponieważ i takie kopie mogą zawierać zainfekowane pliki systemowe, powodując kolejne zarażenie.

Odbudowanie systemu od zera jest najbezpieczniejszą formą przywrócenia systemu, zalecaną w ekstremalnych przypadkach, np. jeśli infekcja dotyczyła wykrycia w systemie backdoora lub rootkita – różne składniki tego typu ataku są niezwykle trudne do wiarygodnego wykrycia i nie ma stuprocentowej pewności, że dokonane modyfikacje systemu nie umożliwią kolejnego ataku. Jest to jednocześnie najbardziej pracochłonne przedsięwzięcie wymagające ponownej instalacji wszystkich używanych na komputerze programów oraz skopiowania dokumentów i innych ważnych danych z wykonanej kopii zainfekowanego systemu – po uprzednim upewnieniu się, że nie zawierają one groźnych pozostałości infekcji.

Oczyszczenie systemu bez reinstalacji i przywracania kopii najlepiej wykonać wtedy, gdy infekcja jest dobrze znana i udokumentowana przez producentów oprogramowania antywirusowego. Istnieje wówczas duża szansa, że za pomocą tego czy innego programu antywirusowego uda się usunąć wszelkie niebezpieczne elementy i cofnąć dokonane przez nie modyfikacje w systemie. Decydując się na ręczne oczyszczanie systemu należy ściśle trzymać się wytycznych dotyczących usuwania danego zagrożenia. Przede wszystkim należy zatrzymać funkcjonowanie szkodliwych procesów, a także uniemożliwić ich automatyczne lub zaplanowane uruchomienie. Następną ważną czynnością jest usunięcie wszelkich plików zapisanych w wyniku działania złośliwego oprogramowania oraz wprowadzonych przez nie zapisów w rejestrze systemowym. Wreszcie pozostaje cofnięcie wszelkich zmian dokonanych przez to oprogramowanie i przywrócenie dokumentów, ustawień i innych plików do stanu sprzed infekcji. Do naprawy systemu konieczne może być użycie dodatkowych narzędzi, np. funkcji odzyskiwania systemu zawartych na płycie instalacyjnej Windows.

Po wykonaniu oczyszczania konieczne jest uzyskanie potwierdzenia, że system jest wolny od szkodliwego oprogramowania. W tym celu należy przede wszystkim wykonać pełne skanowanie wszystkich dysków komputera programem antywirusowym, dla pewności dobrze jest wykonać drugie skanowanie innym antywirusem (na przykład jednym z bezpłatnych skanerów antywirusowych online). Warto także poświęcić czas na analizę działających w systemie procesów, otwieranych przez aplikacje portów i zestawianych przez komputer połączeń z adresami zewnętrznymi. Niezależnie od wszystkiego, należy zachować wzmożoną czujność i nadzwyczajną ostrożność podczas pracy z przywróconym systemem.

Zabezpieczenie przed ponowną infekcją

Oczyszczenie komputera ze szkodliwego oprogramowania i odzyskanie danych nie oznacza jeszcze zakończenia pracy nad przywróceniem systemu do pełnej funkcjonalności. Po potwierdzeniu, że system jest wolny od złośliwego oprogramowania należy wykonać czynności, które uniemożliwią nawrót infekcji. Bezwzględnie zalecana jest zmiana wszelkich haseł zapisanych w systemie na takie, które nie są łatwe do odgadnięcia. Drugim ważnym elementem jest zaktualizowanie systemu oraz innych używanych programów do najnowszych dostępnych wersji, ściągnięcie łat i poprawek poprawiających bezpieczeństwo.

Trzeba także zastanowić się nad weryfikacją wykorzystywanych dotychczas zabezpieczeń i ogólnej polityki bezpieczeństwa. Jeśli istnieje podejrzenie, że winę za infekcję ponosi niezapewniające dostatecznej ochrony oprogramowanie, warto rozważyć jego zmianę na takie, które w przyszłości pozwoli na uniknięcie podobnego ryzyka. Dokonując wyboru można posłużyć się wersjami testowymi programów, można także skorzystać z rankingów wykonywanych przez niezależne organizacje, takie jak AV-Test lub AV Comparatives. Nie należy jednak zapominać, że najważniejszym elementem skutecznej ochrony jest rozsądne użytkowanie komputera i zapobieganie zagrożeniom, a nie ich zwalczanie. Nawet najlepsze rozwiązanie antywirusowe nie zda się na nic, jeśli do sprawy bezpieczeństwa podchodzić będziemy lekkomyślnie.


Andrzej Witbrot - 2012 - www.killvir.pl - www.wwknet.pl

Licencjonowane artykuły dostarcza Artelis.pl.

Czym są wirusy komputerowe?

Czym są wirusy komputerowe?


Autor: robert rutyna


Aby odpowiedzieć sobie na to pytanie warto poznać na początku historię tych niezwykłych programów. Pierwszy wirus został napisany przez amerykańskiego programistę Roberta Morrisa Jr. trafił on do internetu 24 lata temu. Pomysłowy informatyk został ukarany pracami społecznymi oraz sporą grzywną.


Z definicji wirus najprościej ujmując jest to kod, którego głównym celem jest uszkodzenie, całkowite zniszczenie systemu operacyjnego lub nawet sprzętu komputerowego. Samopowielanie tak jak w przypadku biologicznych odpowiedników stanowi pierwszą cechę, świadczącą o tym, że możemy mówić o wirusie komputerowym.

Dzisiejszy świat wirusów w małym stopniu przypomina ten z przed paru lat. Czasy pisania kodu dla samej „przyjemności” programisty dawno się skończyły. Obecnie programy tego typu mają za zadanie głównie zbierać informację, atakować określone cele – niekoniecznie priorytetem jest ilość powstałych przy tym kopii danego kodu.

Zmieniła się zdecydowania strategia. Powstało wiele nowych zagrożeń:
-Wirusy Crimeware
-Wirusy Ransomware

Obie te grupy łączy jedno, bez względu na podział wirusów, twórcy tych programów postawili na zysk.
Łączny roczny obrót narkotykami na całym świecie nie jest już teraz w stanie dotrzymać kroku zyskom jakie generuje : celowy wyciek i sprzedaż danych, wirusy(zbieranie numerów kart kredytowych, nieautoryzowane transakcje) – spam czy nielegalne reklamy.

Problem wirusów i zagrożeń pokrewnych jest problemem powszechnym, brak zainstalowanego oprogramowania antywirusowego sprawia, że jesteśmy bezbronni podczas przeglądania zasobów internetu. Mylne jest myślenie, iż nie trzeba posiadać p.antywirusowego korzystając jedynie ze sprawdzonych stron internetowych. Uważając podczas przeglądania internetu czy odbierania poczty nigdy nie możemy być pewni, czy twórca nowego wirusa nie skorzystał z nieznanej dotąd luki w systemie, której użyje do ataku na nasz komputer. Właśnie w takich przypadkach dobry program antywirusowy okaże się pierwsza linią obrony systemu i naszych prywatnych danych.

Nowe niebezpieczeństwa – oprogramowanie malware

Ostatnie lata zmieniły strategie pisania wirusów komputerowych. Jeszcze niedawno wirusy i robaki internetowe tworzone były głównie z myślą o zainfekowaniu jak największej liczby maszyn. Dzisiaj największym zagrożeniem dla użytkowników Internetu są programy typu crimeware. Co to takiego? Cyberprzestępcy znudzili się samym faktem atakowania internautów i postanowili na tym zarobić, nielegalnie przejmując numery kart kredytowych, uzyskując dostęp do portali społecznościowych, aukcyjnych i w ten sposób okradać swoje ofiary. Oprogramowanie Crimeware to nic innego niż wirus,robak czy trojan na ujmijmy to „dopalaczu”. Jego zadaniem nie jest już blokowanie systemu, a niezauważalne przebywanie w systemie, zbieranie informacji, przekierowywanie na fałszywe strony np.banku – bliźniaczo wyglądające również pod względem adresu.

co to wirus komputerowy

Trojan/Weelsof – zmora polskich internautów, program żądał 100 euro za możliwość odblokowania zainfekowanego komputera, podając się przy tym za oprogramowanie policyjne.

Nie jest to oczywiście reguła, ale znaczna część autorów tzw. „wirusów” (granice między definicjami ostatnio często się zacierają) współpracuje z realnymi grupami przestępczymi. Świat przestępczy przenika do sfery wirtualnej.

Definicja wirusa komputerowego

Jest to kod stworzony w celu jego samopowielania. Tak, aby rozprzestrzeniać się na kolejne komputery. Wirus może powodować uszkodzenie systemu, a nawet sprzętu komputerowego. Wirusy komputerowe są bardzo podobne pod względem działania do swoich biologicznych odpowiedników.

Definicja robaka komputerowego

Robak, podobnie jak wirus, jest zaprojektowany w sposób pozwalający mu na samodzielne kopiowanie się z jednego komputera na inny, ale realizuje to automatycznie, przejmując kontrolę nad funkcjami komputera, umożliwiającymi przesyłanie plików lub informacji. Robak, który znajdzie się w systemie użytkownika, może się samodzielnie rozsyłać. Największym zagrożeniem ze strony robaków jest ich zdolność do replikacji w ogromnym tempie. Robak może na przykład rozsyłać kopie siebie do wszystkich osób wymienionych w książce adresowej i ta sama operacja będzie miała miejsce na komputerach tych osób, co może spowodować efekt domina i w efekcie doprowadzić do ogromnego zwiększenia ruchu w sieci i spowolnienia komputerów firmowych i całego Internetu.

Definicja konia trojańskiego

Koń trojański, najczęściej oprogramowanie pozornie użyteczne (np. gra na komórke itp). Powodujące w rzeczywistości ogromne zagrożenie dla komputera. Programy tego typu są tworzone, tak aby ukryć ich faktyczne zadanie jakim może być np.szpiegowanie naszego komputera.

Pomysłowość programistów wirusów komputerowych

Twórcy wirusów nie spoczywają na laurach opracowując coraz to nowe metody ataku komputerów. Ostatnie miesiące to głównie zagrożenia związane z popularnymi serwisami społecznościowymi takimi jak Facebook. Grupy cyberprzestępców wykorzystują do tego celu medialne wydarzenia takie jak śmierć Osamy bin ladena czy ślub pary królewskiej w Anglii kusząc internautów niesamowitymi informacjami, zdjęciami itp. Materiał filmowy poniżej, niestety w języku angielskim. Zachęcamy do obejrzenia.

Wirus komputerowy, a wiedza użytkowników.

Należy zdać sobie sprawę, że wirusy komputerowe bazują tak naprawdę na niewiedzy użytkowników. Twórcy wykorzystują tą samą technikę, z której korzystają hakerzy. Kevin Mitnick najbardziej znany medialny e-włamywacz jak sam przyznał niejednokrotnie to nie system lecz człowiek jest najsłabszym ogniwem. Samo posiadanie programu antywirusowego nie ochroni nas od zagrożeń współczesnego internetu. Należy pamiętać o regularnym aktualizowaniu systemu operacyjnego, programu antywirusowego oraz każdego innego oprogramowania w komputerze. Programy są tworzone przez ludzi, a więc każda nawet najbardziej dopracowana aplikacja może zwierać błędy, będące furtką przez którą haker, czy wirus komputerowy przeniknie do komputera ofiary.

Lepiej wybrać bezpłatny program antywirusowy, który można bez problemu zaktualizować niż posiadać najdroższy pakiet ochronny, ale bez możliwości aktualizacji z powodu wygaśnięcia okresu testowego lub nie przedłużenia licencji.

Nie każde spowolnienie wydajności komputera musi oznaczać wirusa. Najczęściej za taki stan rzeczy odpowiadają całkiem zwyczajne programy, które niestety uruchamiają się wraz ze startem systemu pochłaniając całe zasoby wolnej pamięci. Zwykle bywa tak, że korzystamy z około 30% takich programów reszta działa w tle bo po prostu jest zainstalowana, ale nikt z nich nie korzysta. Warto wtedy wyłączyć część zbędnych programów, a okaże się, że groźny wirus to jedynie źle zinterpertowane zachowanie komputera.

wirus komputerowy definicja Twórcy wirusów komputerowych

Czy zastanawiałeś się kiedyś skąd biorą się wirusy komputerowe ? Jeszcze kilka lat temu podział na twórców wirusów był prosty: zdolni programiści amatorzy, studenci informatyki oraz script kids – czyli osoby posługujące się gotowymi narzędziami.

Obecnie podział jest o wiele bardziej skomplikowany i należy wziąść pod uwagę parę istotnych czynników. Rozwój internetu doprowadził do powstania wielu bardzo dobrze zorganizowanych międzynarodowych grup tworzących zawodowo bądź też z „pasji” wirusy komputerowe.

Najbardziej niebezpieczną odmianą tego procederu są grupy pracujące dla organizacji przestępczych. Coraz częściej przestępcy rezygnują ze starych metod zarabiania nielegalnie pieniędzy na rzecz nowoczesnych technologii korzystając z usług doskonale zoorientowanych w tym temacie programistów, tworzących oprogramowanie skierowane przeciwko konkretnemu profilowi ofiar np. danego banku…

W internecie istnieje czarny rynek, na którym za pewną cenę można uzyskać dostęp do bardzo zaawansowanych narzędzi hackerskich, twórcy wirusów „handlują” komputerami internautów zainfekowanych oprogramowaniem szpiegowskim tworzącymi tzw. botnety, w tłumaczeniu komputery zombi – sieci takie składają się często z wielu tysięcy komputerów prywatnych ludzi nieświadomych ryzyka.

Rodzaje wirusów komputerowych

Wirusy można dzielić według różnych kryteriów jest to bardzo dynamicznie rozwijająca się dyscyplina informatyki dlatego proszę nie brać poniższego podziału za ostateczny, ponieważ praktycznie codziennie odkrywane są nowe rodzaje wirusów, a każdy z nich może oznaczać nowe spojrzenie na kwestie podziału tych szkodliwych programów.

Klasyfikacja wirusów:

-wirusy plikowe z ang.file virus : najstarszy rodzaj wirusów komputerowych, atakują konkretne pliki np.wykonywalne (*.bat) oraz wiele innych rozrzerzeń, tak aby replikacja wirusa była jak najszersza. Wirusy tego typu nie są zbytnio wyrafinowane, główny cel to powielanie poprzez infekcję jak największej grupy plików. Dzieje się to przez dopisanie kodu wirusa do atakowanego pliku.

-wirusy boot sektora z ang.boot sector virus : nosicielem wirusa jest w takim przypadku sektor startowy nośnika danych jakim może być np. dysk twardy naszego komputera.

-wirus FAT – inaczej wirusy tablicy alokacji plików z ang. FAT virus.

wirus FAT atakuje alokacje plików zmieniając wartość pierwszej jednostki lub wielu na jednostkę alokacji kodu wirusa. Umożliwia to wczytanie kodu wirusa wczasie ładowania programu.

-makro wirus: wirusy atakujące pliki programów biurowych takich jak MS Word.

-wirus polimorficzny – Dark Avenger bułgarski programista zmienił oblicze wirusów komputerowych tworząc pierwszy samomutujący się kod. Taki program zmienia swoją strukturę kodu przy każdej infekcji. Utrudniając pracę programu antywirusowego.

-wirus scamowy – Całkiem nowa odmiana wirusów pojawiająca się coraz częściej na portalach społecznościowych. Użytkownik takiego serwisu nieświadomy zagrożenia jest wabiony różnego rodzaju „niesamowitymi” zdjęciami, filmami itp. materiałami będącymi zazwyczaj ukrytymi linkami do zewnętrznych stron, na których złośliwy kod jest instalowany na naszym komputerze.

-wirus komórkowy (mobilny) – Wraz ze wzrostem popularności mobilnej technologii twórcy wirusów zaczeli szukać nowych możliwości tworzenia wirusów na platformy przenośne: smartphony, tablety itp. Zagrożenia tego typu są bardzo niebezpieczne ponieważ w urządzeniach tego typu zazwyczaj przechowujemy nasze prywatne dane, łącznie z dostępem mobilnym do banku. Dlatego nie zaleca się wchodzić na tym samym mobilnym gadżecie na stronę swojego banku jeżeli hasła jednorazowe do realizacji operacji bankowych przychodzą na to samo urządzenie, z którego aktualnie korzystamy.


CyberBezpieczenstwo.pl

Licencjonowane artykuły dostarcza Artelis.pl.

Odzyskiwanie danych

Odzyskiwanie danych


Autor: Andrzej K.


Utrata danych komputerowych - przyczyny, sposób postępowania, rodzaje uszkodzeń.
Co zrobić, żeby odzyskać cenne dane?
Czego nie robić, żeby nie pogorszyć sytuacji?


Praca na komputerze i przechowywanie nań danych nieodzownie wiąże się z ryzykiem utraty danych (np. wyników pracy z kilku tygodni, zdjęć), które są nie do otworzenia lub czas ich odtworzenia jest za długi. Problem dotyczy zarówno dysków twardych HDD, SDD, jak i również kart pamięci i pendrive'ów. Jeśli nie masz kopii zapasowej, jedynym rozwiązaniem jest wtedy odzyskanie danych.

Sposoby postępowania są różne i zależne od przyczyny utraty danych, które mogą być natury logicznej lub fizycznej.

Uszkodzenia logiczne są to uszkodzenia struktury logicznej dysku (np. system plików) lub samych danych. Sam dysk pozostaje sprawny, natomiast nie możemy się dostać do naszych danych.

Najczęstsze przyczyny:
- usunięcie danych (przypadkowe lub celowe)
- sformatowanie partycji lub całego dysku
- uszkodzenie systemu plików
- uszkodzenie sektora zerowego
- konsekwencje nieumiejętnego posłużenia się programem narzędziowym
- działanie wirusów
- nadpisanie strefy serwisowej

W takich przypadkach do bezpowrotnego zniszczenia danych dochodzi w przypadku nadpisania usuniętych danych nowymi.

Zatem, aby nie utracić danych bezpowrotnie, nie należy nic zapisywać na dysku, na którym doszło do ich utraty. Jeśli problem dotyczy tylko części dysku, czyli pojedynczej partycji, można korzystać z pozostałych. Jeśli jednak doszło do uszkodzenia struktury logicznej całego dysku lub nie znamy przyczyny, nie należy nic na nim zapisywać w żadnym miejscu!

Jeśli nie masz doświadczenia w odzyskiwaniu danych, a są one szczególnie cenne, nie próbuj używać żadnych programów ani innych zabiegów. Zgłoś się w takim przypadku pomoc do wyspecjalizowanego serwisu komputerowego.

Uszkodzenia fizyczne dotyczą już samego dysku (napędu).
Dzielą się one na kilka kategorii ze względu na uszkodzenie:
- elektroniki zewnętrznej (na płytce pod obudową)
- elektroniki wewnętrznej (wewnątrz obudowy)
- mechaniczne
- termiczne (przegrzanie)
- strefy serwisowej
- silnika lub łożyska

Najczęstsze przyczyny:
- problemy z zasilaczem (przepięcia, spięcia)
- wstrząsy, wibracje i uderzenia, upadki (zwłaszcza podczas pracy)
- zgniecenia, odkształcenia, wysoka wilgoć
- przegrzanie

Uszkodzony tak dysk może być:
- widziany przez komputer, a dostęp do danych częściowo możliwy,
- widziany przez komputer, ale bez możliwości dostępu do danych,
- nie widziany przez komputer
- może w ogóle się nie uruchamiać

W takich przypadkach, jeśli nie posiadamy odpowiedniej wiedzy, umiejętności oraz wyposażenia, nie powinniśmy niczego próbować naprawiać samodzielnie, bo możemy jeszcze pogorszyć sytuację.

Nawet w przypadku gdy dysk jest widoczny i częściowo można odczytać dane, nie należy takie dysku obciążać wielokrotnymi operacjami odczytu/zapisu. Używanie programów do odzyskiwania danych z uszkodzonych sektorów może doprowadzić do jeszcze poważaniejszej awarii. Taki program może w takiej sytuacji dosłownie "zamęczyć dysk na śmierć".

Nie należy również oddawać takie dysku w ręce pseudofachowców, którzy wszystkie przypadki uszkodzeń fizycznych próbują leczyć poprzez wymianę płytki z elektroniką. W ten sposób można również bezpowrotnie stracić szansę na odzyskanie danych!

W większości przypadków uszkodzeń fizycznych pomóc może tylko wyspecjalizowana firma odzyskująca dane, której usługi są jednak niestety drogie.

Zatem najlepszym rozwiązaniem jest profilaktyka, czyli wykonywanie kopii zapasowych albo trzymanie danych na macierzach dyskowych.


KodIT - Serwis komputerowy Poznań

Licencjonowane artykuły dostarcza Artelis.pl.

Progresywna deduplikacja danych w backupie

Progresywna Deduplikacja danych w backupie


Autor: Dario


Progresywna deduplikacja wykorzystuje przesuwające się okienko skanujące plik w poszukiwaniu zduplikowanych bloków. Jest to metoda na tyle efektywna, że wykrywa duplikaty w każdym bajcie pliku.


Wprowadzana na polski rynek backupu technologia progresywnej deduplikacji czerpie możliwości z deduplikacji fixed-block i variable-block. Szybkością dorównuje tej pierwszej, wykorzystując bloki o stałej wielkości jeżeli tylko jest to możliwe. Te ostatnie pozwalają też na bardzo praktyczne rozpoznawanie typu pliku, z jakim deduplikacja ma do czynienia (np. plik .ppt), co pozwala na jeszcze większe oszczędności czasowe. Możliwościami deduplikacja progresywna dorównuje tej o zmiennej wielkości bloku, rozpoznając wszelkie zmiany dokonane w dowolnym miejscu pliku, co wyraźnie zwiększa współczynnik kompresji. Niemniej jednak, w ostatecznym rozrachunku deduplikacja progresywna przewyższa tą variable-block dzięki rozpoznawaniu typu pliku z jakim ma do czynienia, oraz przetwarzaniu uprzednio zapisanych części danych z prędkością osiąganą przez deduplikację fixed-block.

Progresywna deduplikacja różni się od innych rodzajów sposobem dostosowywania wielkości bloków skanujących plik w poszukiwaniu duplikatów. Na początku, progresywna deduplikacja dzieli plik na bloki identycznych rozmiarów, tak jak w przypadku typu fixed-block. Jednak pozwala ona blokom na nachodzenie na siebie, dzięki czemu granica bloku może wystąpić w dowolnym miejscu. Ma to znaczenie w przypadku zmian dokonanych wewnątrz pliku. Modyfikacje tego typu powodują, iż uprzednio zapisane, znane już bloki ulegają przesunięciu w dół sekwencji pliku, wskutek czego nie byłyby rozpoznane przez tradycyjne typy deduplikacji. Są natomiast rozpoznawane przez deduplikację progresywną.

Ponadto, progresywna deduplikacja ustala optymalną wielkość bloku dla konkretnego typu pliku. W zależności od deduplikowanego pliku, rozmiar bloku to 1k, 2k, 4k, 8k, 16k, lub 32k bajty. Dzięki tej funkcji osiągalne są lepsze współczynniki kompresji.

Progresywna deduplikacja wykorzystuje przesuwające się okienko skanujące plik w poszukiwaniu zduplikowanych bloków. Jest to metoda na tyle efektywna, że wykrywa duplikaty w każdym bajcie pliku. Wnikliwy czytelnik zauważy zapewne, iż taka efektywność wymaga sporej mocy obliczeniowej. Zapewne byłaby to prawda gdyby nie fakt, że branża firm IT dysponuje dwoma rodzajami algorytmu hashowego. Hash lekki jest krótki i dzięki temu umożliwia szybkie porównywanie. Hash ciężki jest długi, za to bardzo dokładny. Progresywna deduplikacja w sprytny sposób wykorzystuje oba rodzaje tego swoistego „odcisku palca”. Szybki i lekki algorytm hashowy rozpoznaje możliwe duplikaty. Te ostatnie są wnikliwie badane dokładnym algorytmem hashowym. Z uwagi na fakt, iż ponad 99 procent możliwych duplikatów okazuje się być dokładnymi kopiami, progresywne skanowanie jest niewiarygodnie efektywne przy rozsądnym obciążeniu zasobów systemowych.

Zastosowanie progresywnej deduplikacji

Nie ulega wątpliwości, iż każdy rodzaj deduplikacji backupowanych danych jest opłacalny w porównaniu z backupem tradycyjnym. Niemniej jednak, dla uzyskania prawdziwie wymiernych korzyści z zastosowania technologii deduplikacji warto zastanowić się wyborem deduplikacji progresywnej. Zapewni ona nie tylko znacznie szybszy backup, ale i jednocześnie zdecydowanie lepszy współczynnik kompresji, co znajdzie odzwierciedlenie w niższych kosztach związanych z przechowywaniem backupu. Efektywnie, progresywna deduplikacja łączy zalety innych rozwiązań tego typu, eliminując ich wady.


SERVCOMP - Profesjonane Oprogramowanie Antywirusowe

Licencjonowane artykuły dostarcza Artelis.pl.

Tradycyjne metody deduplikacji danych

Tradycyjne metody deduplikacji danych


Autor: Dario


Fenomen deduplikacji polega na dwóch czynnikach. Po pierwsze, deduplikacja wykorzystuje algorytmy hash’owe zamiast tradycyjnego porównywania danych bajt-po-bajcie. Po drugie, globalna kompresja rozbija dane na małe kawałki (bloki), co usprawnia proces ich porównywania.


Deduplikacja danych jest używana by zmniejszyć ilość danych – zarówno do przechowywania, jak i do przesyłu przez sieć – od lat dziewięćdziesiątych ubiegłego wieku. Fenomen deduplikacji polega na dwóch czynnikach. Po pierwsze, deduplikacja wykorzystuje algorytmy hash’owe zamiast tradycyjnego porównywania danych bajt-po-bajcie. Zapewnia to szybkość całemu procesowi, bez rezygnowania z niezawodności. Po drugie, globalna kompresja rozbija dane na małe kawałki (bloki), co usprawnia proces ich porównywania. To właśnie metody rozbijania danych na porównywalne cząstki sprawiły, iż spotykane są cztery metody deduplikacji.

Eliminacja identycznych duplikatów, Deduplikacja blokiem o stałej wielkości, Deduplikacja blokiem o zmiennej wielkości, Deduplikacja progresywna

Eliminacja identycznych duplikatów

Historia deduplikacji rozpoczęła się od eliminacji plików będących identycznymi kopiami pliku uprzednio zapisane go. Była to pierwsza metoda globalnej kompresji oparta na algorytmie hashowym – jeśli hashe dwóch plików są takie same, pliki są traktowane jako identyczne, nawet jeśli mają inne nazwy, czy daty modyfikacji. Metoda ta była szczególnie przydatna w przypadku eliminacji duplikatów w postaci załączników rozsyłanych pocztą elektroniczną lub plików systemowych rezydujących na komputerach spiętych w sieć. Dużą wadą tego rozwiązania jest fakt, iż jeśli plik zostanie w jakikolwiek sposób zmodyfikowany (wystarczy zmiana pojedynczego bajtu), musi on zostać w całości zapisany na nowo.

Deduplikacja blokiem o stałej wielkości

Deduplikacja fixed-block dzieli pliki na bloki (czyli omawiane wyżej sekwencje bajtów) o stałej wielkości (typowo między 4kB a 64kB). Nie porównuje ona hash’ów całych plików, jak w przypadku Single-Instance Storage, lecz tworzy hash dla każdego bloku z osobna. Daje to wymierne korzyści, gdy duże pliki rosną przez dodawanie do nich nowych danych, lub kiedy długie sekwencje bajtów są modyfikowane między zadaniami backupowymi. Przykładem danych, które rosną w sposób umożliwiający deduplikację fixed-block są pliki poczty elektronicznej (np. MS Outlook .PST) oraz niektóre rodzaje baz danych. Minusem tego rodzaju deduplikacji jest niemożność rozpoznania kopii sekwencji bajtów, gdy dane zostają zmodyfikowane w miejscu innym niż na końcu – jedynie dopisanie nowych rekordów danych w miejscu, gdzie uprzednio zapisany plik się kończy umożliwia efektywne działanie deduplikacji fixed-block.

Deduplikacja blokiem o zmiennej wielkości

Deduplikacja variable-block ustala „w locie” wielkość bloku porównującego. Dzięki temu ten rodzaj deduplikacji jest w stanie rozpoznać zmiany nie tylko dodane na końcu pliku, ale też te dokonane na jego początku, bądź w środku. Przykładowo, jeśli dane są modyfikowane wewnątrz pliku (pomiędzy poszczególnymi blokami), wielkość bloku zmienia się wraz ze zmianą zawartości, co umożliwia zapis jedynie nowo dodanych danych i referencję do następujących po nich danych uprzednio zapisanych. Mimo większej efektywności pod względem osiąganego współczynnika kompresji, deduplikacja variable-block wymaga znacznie bardziej żmudnego przetwarzania danych niż fixed-block. Jest to o tyle problematyczne, iż w przypadku tego rodzaju globalnej kompresji nie ma możliwości prostej kontroli nad wielkością bloku. Co prawda średnie wielkości bloków mogą zostać predefiniowane, ale nie zmienia to faktu, iż pozostałe bloki mogą mieć rozmiar od pojedynczego bajtu aż do wielkości całego pliku. W rezultacie proces eliminacji duplikatów jest wolny. Ogólną efektywność deduplikacji blokiem o zmiennej wielkości pogarszają także przypadki skrajnych wielkości bloków. Referencje bloków zbyt małych nie zajmują wymiernie mniej miejsca od duplikatów tych sekwencji. Z kolei rozmiar bloków zbyt dużych ogranicza użyteczność deduplikacji do poziomu eliminacji identycznych duplikatów (Single-Instance Storage).


dd

Licencjonowane artykuły dostarcza Artelis.pl.