Laptop adatmentés, notebook adatmentés

    • Túláram, villámcsapás érte, megégett az elekrtonika?
    • File-ok, adatok törlődtek a számítógépéről, laptopjáról?
    • Vírusfertőzés esetleg kémprogram férkőzött be?
    • Eltűnt a teljes adattároló tartalma?
    • Áramszünet után nem találja adatait?
    • Folyadék érte a gépet, ráömlött az ital?
    • Leeset, beütődött?
    • Kattog, kerreg a hdd?
    • Elfelejtette a jelszót és nem tud belépni a Windows-ba?
    • Firmware probléma?
    • HDD szerviz, merevlemez javítás, wincseszter szerviz, adatvisszaállítás
    • Itech szerviz elerhetőségHívj minket bizalommal: Elérhetőség | Árajánlat

 

Wincheszter szerviz, merevlemez javítás, adatvisszaállítás

Véletlen törlés

Időnként bárkivel megeshet, hogy egy rosszabb pillanatában, vagy épp egy véletlen mozdulat segítségével akarata ellenére is saját kezűleg vet véget a számára értékes file-ok létezésének. Ez esetben nincs komoly aggódásra ok, hiszen az adatok továbbra is rajta vannak a merevlemezen, csak épp be vannak jegyezve felülírásra alkamas területnek. Ameddig ez a felülírás nem következik be, az adatok a legtöbb esetben 100%-osan helyreállíthatóak!

Felhívjuk kedves ügyfeleink figyelmét arra, hogy a mai modern operációs rendszerek sokszor önállóan is végeznek írási műveleteket a hdd-n, pl swap-olnak, logfile-t készítenek bizonyos eseményekről, intelligensebb OS-ek a háttérben töredezettség-mentesítést is végrehajtanak, hogy ezzel is gyorsítsák a számítógép sebességét.

Éppen ezért a legjobb tanács amit véletlen törlés estén adhatunk az az, hogy NE állítsa le a számítógépet a normál leállítás paranccsal és NE kapcsolja ki (ne áramtalanítsa), ugyanis a leállításnál majdnem minden esetben írás történik az aktuális állapot lejegyzései miatt, az áramtalanításnál pedig fizikailag is sérülhet a merevlemezünk ha épp írási folyamat közben megy el az áram!

 
 

A legjobb megoldás ilyenkor egy villám gyors RESET gomb megnyomás, majd rögtön utána pár másodperccel az áramtalanítás, még mielőtt az operációs rendszer elkezdene betöltődni.

Törlés operációs rendszer telepítésénél

 

Ez az eset legtöbbször rendszergazdák szervíz szakemberek munkája során fordul elő. Időnként megesik, hogy OS telepítéskor elfelejtünk kihúzni egy HDD-t, vagy épp másik HDD-t jelöltünk ki újrapartícionálásnál, újratelepítésnél. Ilyen esetekben sem kell kétségbe esni, ugyanis a törölt partíció a megfelelő módszereket alkalmazva felismerhető, a bejegyzés helyreállítható, az adatmentés akár 100%-os is lehet!

 
 

Ha a partíciót meg is formáztuk, akkor számítani kell arra, hogy a ROOT FS felülírásra került és a helyreállítható file-ok kapcsolódása nem lesz tökéletes. (FS tipustól függően.) A megtalált file-ok egy része nem fog név-bejegyzéssel rendelkezni, valamint a könyvtárszerkezet kapcsolódása is sérül, tehát nem lesz összefüggő.De ezek ellenére is az adatok nagy része visszaállítható!Ha a partíciót nem csak megformáztuk, de még rá is telepítettük az OS-t, akkor sok file-t és régi FS bejegyzést felülírtunk ezzek a lépéssel, de még ilyen esetekben is a HDD méretétől, valamint a korábbi telítettségi állapotától függően az adatok nagy része helyreállítható marad.

 

Partíció átméretezése során bekövetkezett adatvesztés

 

Sok olyan esettel találkozunk, amikor különböző userspace program segítségével megpróbálják a felhasználók átméretezni az élő és adatokkal teli partíciójukat. Ilyen lépés előtt ismernünk kell ezeknek a feltételeit, a vele járó kockázatokat! A legtöbb program nem képes a művelet végrehajtása közben a HDD hibáinak a lekezelésére!

 
 

Tehát ha a művelet során az eszköz írási vagy olvasási hibát ad vissza, akkor a program ki fog fagyni, vagy a felhasználó számára használhatatlan hibaüzenettel rendellenesen a két állapot között le fog állni maga mögött hagyva egy félig átalakított FS-t, ami nem nyitható meg az OS számára. Ilyen lépés elött győződjünk meg róla, hogy a HDD fizikailag tökéletes állapotban van, a számítógéphez van UPS kapcsolva, annak az akkumulátora fel van töltve és nincs elhasználódva, valamint minden egyéb programból beleértve a vírusírtót, tűzfalat is ki vagyunk lépve!

Microsoft Windows XP SP2, SP3 vagy Windows 2000 SP4 javítócsomagok mellőzése

 

A Windows XP és Windows 2000 javítások (servicepack) nélküli változatai nem képesek 128GB (137G) feletti merevlemezeket hibátlanul kezelni.A  128GB-os határ felett egy bizonyos címzési változó túlcsordul, mivel túl kicsi a mérete, és az OS elkezd a 129. Gigabyte helyett az első Gigabyte-on dolgozni. Ezzel felülírva az MBR-t (partíciós tábla, Master Boot Rekord), a partíció BOOT sectorát, a FAT vagy MFT területet, jelentős károkat okozva az FS-ben. Egy ilyen akció után az OS nem képes még felismerni sem a merevlemezünkön levő köteteket, így a rajtuk levő adatokat sem!

 
 
 

Ha szerencsénk van, akkor az eset előfordulása után rövidesen kifagy az OS és nem történik jelentős felülírás. Azonban ha ez nem következik be, akár az egész első 128GB-t felülírhatja! A Windows XP csak az SP2-es javító csomag után képes jól kezelni az ekkora merevlemezeket, de tapasztalataink szerint az OS bootolása során még mindíg vannak benne hibák amik nem kerültek kijavításra.
A Windows 2000 hivatalosan nem képes kezelni semmilyen 128GB feletti tárolót, de az SP4-es javítócsomag alkalmazásával tapasztalataink szerint kritikus hibákat szerencsére nem követ el az OS, csak nem támogatja megfelelően az eszközöket. Pl: nem engedi feljebb partícionálni azokat 128GB-nál.

 

 

Hibás HDD, háttértár, vírusprobléma által okozott logikai sérülés - korrupt állományrendszer

A korrupt állományrendszer valójában hibás FS-t jelent. Az FS korrupcióját (sérülését) igen sok hiba okozhatja. Előfordul vírustámadás miatt, hibás memóriával rendelkező számítógép tévesztése miatt, de előfordulhat helytelen kivételkezeléses programok futtatása miatt is, valamint nem utolsó sorban fizikai hibás adathordozó is. A fizikai hibát kivéve minden esetben logikai mentésről beszélünk, ártáblázatunk szerint is ebbe az oszlopba tartozik az eset.

 
 
 


Partíció sérülés, az operációs rendszer RAW file-rendszert állapít meg.

 
 
 
 

Ha azt tapasztaljuk, hogy az OS-ünk RAW file-rendszert állapít meg az egyik kötetünk szerkezetéről, az azt jelenti, hogy nem tudta azonosítani a file-rendszer típusát vagy annak pontos verzióját és nem képes azt helyesen kezelni. (inkább feladja és nem vállal érte felelősséget) Ilyen esetekben legtöbbször kijavítható a hiba az adatok pedig visszanyerhetőek.

 

Hibás TOC (CD lemezen vagy DVD-n.):

 

A hibás TOC (Table Of Contents) főleg Multisession-os CD lemezek írásánál szokott előfordulni.

Okozhatja a CD író program hibája, helytelen beállítása, vagy akár az írandó médium (lemez felület) hibája is. (pl nem elég tiszta a lemez írási kisérletnél).

Mindenkinek tanácsoljuk, hogy ne készítsen Multisession-os lemezek írásával!

Minden esetben normál "single session" lemezt írjunk és kapcsoljuk be a "lemez lezárása" lehetőséget a CD író programban.

A hibás TOC esetén előfordulhat, hogy a lemezre felírt adatok nem, vagy csak részlegesen jelennek meg, de az is előfordulhat, hogy az olvasó azonnal kidobja az értelmetlen TOC-al rendelkező lemezt.

Némely esetben csak speciális eszközök segítségével olvashatóak le az adatok.

 

 

 
 


 Áramkimaradás, villámcsapás, feszültségtüske a hálózatról, tápegység hiba:

 

Az adatmentések jelentős százalékát az áramellátásával kapcsolatos problémák okozzák.

 


Ezek lehetnek:

 


- Áramkimaradás

Ha írás közben történik mindez, akkor a HDD elektronikáján található "buffer" cache-ben levő adatok kiírása közben az eszköz a fejét nem tudja a megfelelő helyen tartani, és felülírhatja az Address Markokat a lemezen.

Ennek hatására az eszköz képtelen lesz néhány tracket megtalálni a lemezen, rosszabb esetben eltalálhatja az SA területet, ami után az eszköz várhatóan nem fog tudni többet inicializálni és nem fog többé bejelentkezni.

Mindez előfordulhat RAID tömbök esetén is egyszerre akár az összes HDD-n!

Éppen ezért szükséges és indokolt a fontos rendszereken az UPS (szünetmentes áramellátás) használata.

 


- Villámcsapás, feszültségtüske a hálózatról

Villámcsapás esetén a tápegységen átjuthat a túlfeszültség (átütés) mert nem rendelkeztünk villámcsapás elleni védelemmel (surge arrest), akkor a számítógépen belüli elektromos félvezetők mind ESD (Elektro Sensitive Discharge) károsodást szenvedhetnek.

Ez természetesen érinti a merevlemezünket is.

Ha a merevlemezt ESD hatás éri, akkor az esetek nagy százalékában a mechanikán belül található félvezető, az előerősítő fokozat (preamp) is károsodhat.

A márkásabb, minőségi UPS-ek nagy százaléka rendelkezik beépített túlfeszültség védelemmel, de ha nem vagyunk biztosak benne, akkor inkább vásároljunk egy villámvédelemmel ellátott konnektort vagy elosztót számítógépünk és természetesen adataink védelmének érdekében.

 


- Tápegység hiba

A számítógépünk tápegysége nem csak külső hálózati túlfeszültségtől szenvedhet károsodást, hanem saját magától is tönkremehet!

A leggyakoribb hibák:

1. ventillátor csapágyának beszorulása, és a tápegység hűtőfelületeinek túlhevülése

2. gyenge minőségű tápegységek esetén a megfelelő védőáramkörök hiánya miatt történő "vezérlés felborulás"

3. a tápegység túlkorossága (2-3 év) miatti elhasználódás.

Ha a tápegységünkben a ventillátor leáll és nincs benne túlmelegedés elleni védelem, akkor a szekunder körben könnyen zárlatossá válhat az egyik legjobban hűtést igénylő egyenirányító dióda.

Ha ez megtörténik, onnantól a kimeneti feszültség egyenáramról váltakozó irányú árammá alakul át, ami a legtöbb félvezető azonnali átütését okozza.

Ha a tápegység vezérlése felborul, akkor vagy ingadozni kezd a feszültség, vagy az áramellátás elégtelensége miatt kezd tévesen működni a winchesterünk, vagy éppen a túlfeszültség miatt átütnek rajta az érzékenyebb félvezetők.

Ha csak egyszerűen túlkoros a tápegységünk, akkor ez azt jelenti, hogy az alultervezett ellenállások a hosszú ideig tartó magas hőmérséklet hatására lassan "megnyúlnak", ellenállásuk megnő, ennek hatására a tápegység szabályzása vagy eltérő feszültségre fog beállni, vagy éppen labilissá válik.

Az elektrolit kondenzátorokból kiszáradhat a dielektrikum, ez a feszültség szűrésének a hatásfokát rontja.

A "zajos" tápfeszültségtől a memória chip-ek téveszteni kezdenek, ami a HDD rendellenes működéséhez vezethet.

 

 

 
 


 Elfelejtett jelszó adattitkosításnál, vagy számítógép, notebook védelemnél.

 

Ha elfelejtettük jelszavunkat sokszor kellemetlen helyzet alakulhat ki belőle.

Ezek ellen is nagyon sok esetben lehet tenni utólag, helyzettől függően segítünk, ha tudunk.

 


 Tűz- vagy vízkár

 

Tűzkár esetén az elektronikán található forrasztások megolvadhatnak, összefolyhatnak (rövidzárlat), tartós 150° felett a félvezetők is károsodhatnak, 250° körül pedig a műanyag szerkezetek is megvetemednek, megolvadnak.

Ilyen esetben SOHA nem próbáljuk meg másik elektronikával indítani a merevlemezt, mert a mechanikán belül található preamp is zárlatos lehet, a fejszerelvényen található deformáció pedig a lemez erős karcolódásához vezethet.

Vízkár esetén két esetet különböztethetünk meg.

1. az egyszerű csapvízzel való érintkezés.

Ez a szerencsésebbik eset, ilyenkor csak az átmeneti rövidzárlat okozhat problémát.

Ilyen esetben hagyni kell az eszközt alaposan kiszáradni, tanácsos legalább 2-3 napra is áramtalanítani.

Ha kiszáradt, viszonylag kicsi kockázattal megpróbálhatjuk beindítani azt.

2. az esővízzel vagy más maró hatású folyadékkal való érintkezés

Ez a rosszabbik eset!

Ha a maró hatású folyadék érte az eszköz elektronikáját, akkor számítanunk kell arra, hogy a nem lakkozott (lőtstoppolt) felületek megmaródtak, és elektromos szakadás jelentkezik ezeken a helyeken.

Ide tartozik pl. az összes lyukgalván (VIA) is.

Ha az elektronikán szakadások jelentkeznek, ez az adatmentésre csak egy esetben káros, mégpedig akkor, ha a fejerősítő (preamp) feszültség regulátorának szabályzóáramköre is sérült, mert így könnyen kerülhet túlfeszültség a preamra, aminek hatására átüthet. (zárlatossá válhat)

Egy átütött preamp pedig könnyen lemágnesezheti a lemez felületét amerre csak éppen jár.

Maró hatású folyadékkal való érintkezés esetén mindenképp forduljunk szakműhely bevizsgálásához!

 

 

 
 


 Fizikai sokk (pl: leejtés, ütés)

 

Fizikai sokk esetén nagyon óvatosan kell az eszközt kezelni mert könnyen lehet olyan deformáció, ami nem jelentkezik az esetet követő első használat során.

Figyelem, a hiba alattomos lehet!!!

Ha megítélésünk szerint egy merevlemezt fizikai sokknak tettünk ki, de az mégis bejelentkezik, első dolgunk legyen, hogy csak olvasásra használva azt, másolatot készítünk a rajta található fontos adatokról!

Ha ez megtörtént, akkor egy írásos felülettesztelést érdemes rajta elindítani, akár 2x is egymás után.

Ha mindez hibamentesen zárult, akkor az eszközünk "megúszta" az esetet.

Ha hiba alattomossága abban rejlik, hogy könnyen eldeformálódhat csak enyhén a fejszerkezet (headstack) az eszköz belsejében, és olvasásra még (akár folyamatosan, akár rövöd időre, de) alkalmas.

Viszont írásnál meg fogja sérteni a lemezen található adatok integritását az eldeformálódott és helytelenül pozícionált headstack-el!

Ha írunk az eszközre, számítsunk rá, hogy sérülni fognak a szomszédos szektorok, sőt, akár az SA terület is!

Notebookok esetén igen gyakori hiba, amikor az asztalon odébbtolják a notebookot és a tapadó gumi talpa miatt egy rezgő mozgást vesz fel az egész gép. Ez a forgásban levő notebook HDD halálát jelentheti!

Vagy azonnal, vagy rövidesen jelentkezik a hatása.

A forgásban levő HDD ha ütést szenved, az ütés hatására a fej hozzáérhet a lemezhez, ahol vagy azonnal letapad és leszakad, vagy egy ponton erősen megsérti esetleg mikroszkópikus méretű karc-csíkokat eredményez a felületében.

A karcok során kiszabadult adathordozó réteg pora belerakódik a fejbe, megsérti annak felületét, és ezzel megakadályozza, hogy a szükgéseg légpárna és annak magasság-tartó hatása kialakuljon.

A sérült fej leereszkedik a lemezre, és ezzel tovább karcolja annak felületét.

 

 

 
 


 Elektronikus vagy mechanikus problémák

 

Az elektronikus problémák az eszköz elektronikájában, vagy annak egyes részein jelentkezhetnek speciális esetben az eszköz mechanikáján belül található fej előerősítő fokozatban a preamp-ban.

A legrosszabb esetben az adatok lemágnesezését eredményezheti, de ez szerencsére csak igen ritkán fordul elő.

A mechanikus probléma mindíg az eszköz mechanikájában jelentkezik.

Majdnem minden eset speciálisnak mondható.

Szerencsés esetben csak olyan deformáció áll elő, ami megakadályozza az eszközt a működésben, rosszabb esetben az adathordozó réteg fokozatos és végleges megsemmisüléséhez vezethet.

 


 Firmware problémák

 

A firmware problémák főleg a HDD-knél jelentkeznek.

Régebbi modelleknél a teljes firmware a panelen (az elektronikán) volt található, de a mostani modern eszközökön már csak a boot loader kód van a nyákon, a firmware moduljai a tányérokon vannak elhelyezve, és az eszköz a beindítását követő inicializálás során tölti be és teszteni le a modulokat.

Ha a lemezeken levő modulok valamelyike megsérül, az könnyen jelentkezhet kattogás (fej-verés) formájában, vagy épp csöndben való nem bejelentkezés képpen, de egyes típusoknál előfordul a helytelen méretben való detektálás is, amikor a BIOS nem a megfelelő méretet ismeri fel.

Sok esetben előfordul az N40P jelzés, vagy az BARRACUDA, CALYPSO, POKER jelzések is.

Egyes tipusok firmware BUG-jai attól is kijöhetnek, hogy hiba keletkezik a CRC hibás szektorok során a reallokációs folyamat közben.

A firmware hibák legtöbb esetben nem okoznak komoly adatveszteséget, de az eszközt használhatatlanná teszik a felhasználó számára.

 


 Milyen eszközökről végzünk adatmentést?

 

 

 

 - Mindenféle HDD (merevlemez)

IDE, EIDE, SATA, SAS, SCSI, ULTRA DMA, UDMA-100, UDMA-133, WIDE SCSI,

4200 rpm, 5400 rpm, 7200 rpm, 10000 rpm, 15000 rpm -es lemezekről.

 


 - Solid-state lemez SSD (Solid State Drive)

 

Mozgó alkatrészt nem tartalmazó, csak FLASH alapú memória storage-ekről.

 


 - Optikai lemezek

 

CD, CD-R, CD-RW, DVD, DVD-R, DVD+R, DVD-RAM lemezekről.

 


 - Flash alapú memóriák

 

SD, mini SD, MMC, RS-MMC, MMC 4.0, RS-MMC 4.0, XD, XD Type M, XD Type H, MS, MS Pro, MS DUO, MS Pro DUO, MMC Micro, Micro SD, M2(MS Micro), CF Type 1, CF Type 2, MicroDrive

 


 - Mágnesszalagok

 

Jónéhány régi és mostani mágnesszalagos tárolóról.

 


 -RAID tömbök

 

RAID1 (mirror), RAID4-RAID5 (Parity checked), RAID6 (double parity checked), RAID10 (stripped mirror)

Software raid és hardware raid minden formájáról.

 


 Milyen file-rendszert tudunk helyreállítani?

 

 

 

 - Az összes windows és DOS alapú FS-t

FAT, FAT-12, FAT-16, FAT-32, FAT-32(LBA), NTFS, HPFS, SFS, Dinamikus kötetek, Software RAID-ek (Microsoft)

 


 - Az összes általános Linux alapú FS-t

 

EXT2, EXT3, XFS, Raiserfs, JFS

 


 - Az összes Novell alapú FS-t

 

NSS (Novell Storage System), NWFS (NetWare Traditional File System)

 


 - Az összes optikai lemezen használatos általános file-rendszereket

 

ISO9660, Joliet, HFS, HPOFS, OFC, QOPT

 

 

Adatmentés - arhíválás - titkosítás - VPN - stratégia kialakítása

Adattárolók, hdd, dvd, cd, zip mentése, arhiválása, számítógép, notebook, laptop adatmentés, archiválás bármely adathordozóról

A megfelelő mentési és archiválási stratégia kialakítása, valamint az ehhez szükséges háttér infrastruktúra kidolgozása, megvalósítása. A mentendő adatmennyiség és az adatok prioritásának függvényében, a tervezés során meghatározzuk a mentés típusát (teljes, differenciális, inkrementális, illetve ezek kombinációja), a gyakoriságát, időtartamait, a szükséges adattároló eszközöket (optikai lemezek, mágnesszalagos tárolóeszközök, helyi vagy távoli backup szerver, stb.), valamint az elkészült mentések és az archivált adatok megfelelő tárolási módját.
Bizonyos - előre meghatározott időközönként - a mentési rendszer ellenőrzésére próba adatvisszaállítást készítünk.


Munkaállomások, szerverek rendszerszintű biztonsági mentése:


A megadott számítógépek rendszerpartíciójának 'pillanatfelvétele'. Segítségével néhány perc alatt visszaállítható a mentés pillanatában meglévő működőképes állapot, minimalizálva a meghibásodásból eredő időveszteséget.


Vírusvédelem, kéretlen levelek (spam) szűrése:


Vírusoktól és egyéb kártékony programoktól, kéretlen levelektől mentes környezet kialakítása a munkaállomásokon és a hálózaton, valamint szerver oldali szűrések alkalmazása.


Tűzfalak, betörésvédelem:


Internetes eléréssel rendelkező számítógépek, szerverek betörés védelmi rendszerének tervezése, megvalósítása, helyi hálózatok védelme a külső és belső illetéktelen behatolási kísérletek ellen, egyéb tűzfalmegoldások.


Virtuális magánhálózat (VPN):


Segítségével egy publikus hálózaton (internet) keresztül biztonságos kapcsolat valósítható meg számítógépek, és/vagy számítógépes hálózatok között.
Tipikus felhasználási területei közé tartozik a laptoppal vagy kihelyezett számítógéppel a céges belső hálózatra (intranet) kapcsolódó felhasználók, illetve cégek távoli telephelyei között megvalósított biztonságos kapcsolat. Az adatok továbbítása minden esetben titkosított csatornán történik, így megakadályozható az illetéktelen hozzáférés.


Felhasználói csoportok, jogosultsági szintek:


A felhasználói és csoportjogosultságok meghatározása, a felhasználók csoportokba szervezése jogosultsági szint szerint, valamint az adatokhoz és szolgáltatásokhoz kapcsolódó hozzáférések beállítása.


Adattitkosítás:


Az adatok kulccsal illetve kulcsszavakkal történő védelme erős titkosítási algoritmusok használatával. Alkalmazásával az adathordozó (pl.: laptop, usb drive, DVD, CD, stb.) elvesztése, illetve eltulajdonítása esetén az adatok nem kerülnek illetéktelen kezekbe, valamint biztosítja, hogy bizalmas adatokhoz, levelezésekhez csak a megfelelő személy férhessen hozzá.

Személyes ajánlatért és további információkért kérjük keresse munkatársainkat.

 

Vírusok fertőzési lehetőségei - vírusirtás - adathelyreállítás


File vírusok

Sok hozzá nem értő felhasználó azt hiszi, hogy csak file-okat fertőző vírusok léteznek. Ezek a vírusok nagy hagyományokkal rendelkeznek, s ezek a legelterjedtebbek, ezekből van a legtöbb. Kezdetben csak COM file-okat fertőztek, de gyorsan kialakultak az EXE file-okat fertőzők is. Két alfajtája létezik, az egyik egyszerűen felülírja az eredeti programot (nagyon egyszerű észrevenni a fertőzés tényét, hiszen sorra válnak működésképtelenné a programjaink), a másik intelligensebb, a program végéhez fűzi hozzá magát, s a file elejét módosítja található utasításokat módosítja úgy, hogy indításkor őrá kerüljön a vezérlés. Miután lefutott, a valódi programra irányítja a végrehajtást, mely aztán lefut, mintha nem is lenne fertőzött.

 

E vírusok ellen a legnehezebb védekezni, ugyanis a legújabbak már erős lopakodási technikákat és polimorfizmust alkalmaznak. A jobb víruskeresők ezért közvetlen lemezkezelést használnak, mellyel a vírusok lopakodását lehet felfedni, másrészt heurisztikus keresőket, melyek az ismeretlen vírusokat is kisebb-nagyobb sikerrel megtalálják.

 

Boot vírusok

 

Az első vírusok közé tartoznak. Ez a vírusfajta a lemezen levő úgynevezett BOOT szektor-t fertőzi meg, módosítja a kódját. A BOOT szektor a számítógép (PC) indulásakor töltődik be, és indítja el az operációs rendszerünket (DOS / OS/2 / Windows). A fertőzött rendszer indulásakor a vírus a memóriába kerül, majd mikor floppy kerül a meghajtóba megfertőzi annak BOOT szektorát.

 

E vírusok ellen manapság már elég jól lehet védekezni. Egyrészt számítógépünk SETUP-jában beállítható a winchester-ek BOOT szektorának írásvédelme, másrészt kikapcsolható a floppy-ról bootolás. További lehetőségek a DOS megkerülésével működő (a vírus szimulálhatja, hogy fertőzetlen a BOOT szektor, de csak a DOS-ra ráépülve) védelmek, melyek figyelmeztetnek lehetséges vírustámadáskor.

 

Társ (Companion) vírusok

 

Ezek a vírusok a DOS parancsvégrehajtási sorrendjét használják ki. Ahelyett, hogy módosítanák a fertőzendő EXE programot, létrehoznak egy azonos nevű, de COM kiterjesztésű programot, s abba másolják kódjukat. A felhasználók program indításakor általában csak annak nevét gépelik be, a kiterjesztés nélkül. Ekkor a DOS az azonos nevűek közül a COM kiterjesztésűeket részesíti előnyben (ha nem talál ilyet, akkor az EXE kiterjesztésű következne), s így a vírust indítja el. A vírus miután lefutott, elindítja az EXE kiterjesztésű programot, tehát a felhasználó semmilyen különbséget nem észlel.

 

Másik változata a companion vírusoknak, mikor a vírus a PATH környezeti változóban levő könyvtárak közül előbbre másolja magát, mint a fertőzendő program van. A DOS ugyanis ha nem találja az aktuális könyvtárban egy programot, akkor a PATH változóban felsoroltakban kezdi el keresni. Így ha a vírus előbb van ebben a változóban, akkor ő fog lefutni.

 

E vírusok ellen talán még nehezebb védekezni, mint a file-vírusok ellen, ugyanis semmilyen változás nem történik a "megfertőzött" file-ban. Újabban a víruskereső programok leellenőrzik, hogy van-e azonos nevű COM és EXE file, azonban ez csak közvetlen lemezkezelés és heurisztikus keresés esetén hatásos, illetve, ha ismert vírusról van szó.

 

Speciálisan terjedő vírusok

 

A legtöbb vírus az eddig bemutatott módokon terjed, azonban akadnak kivételek, melyek közül két érdekesebbet mutatok be.

 

Az egyik legötletesebb a Magyarországon Cluster Buster-nek nevezett vírus. Ez egyáltalán nem módosítja a programokat, nem növeli meg hosszukat. Ha elindítjuk a vírusos programot, akkor a vírus a lemez utolsó szektorát foglalja le magának, és odamásolja magát. Ezt követően, ha elindítunk egy programot, akkor annak kezdőszektorait módosítja a lemezen, úgy, hogy azok rá mutassanak. Miután végrehajtódott természetesen lefuttatja az eredeti programot is.

 

Másik érdekes ötlet az archív file-ok fertőzése. Az ilyen vírusok indításuk után archív file-ok (pl. ZIP, ARJ, RAR) keresésébe fognak a lemezen, majd ha találnak egyet, akkor bővítik azt saját magukkal. Ha egy ilyen archívot ezután kicsomagolunk, és elindítjuk belőle a később hozzáadott file-t, akkor az további archívokat fertőz...

 

Vírusok tulajdonságai

 

Lopakodó vírusok

 

A lopakodás többnyire a Companion és a file-okat fertőző vírusok jellemzője. A lopakodás abból áll, hogy a vírus megpróbálja elrejteni magát a felhasználó és a víruskereső programok elől.

 

A felhasználó a programok méretváltozását, és új file-ok jelenlétét észlelheti. Ez ellen lehetséges a DOS könyvár-listázó megszakításának lecserélésével védekezni a vírusnak: ha ez az interrupt vírusos file-t ad vissza, akkor az aktív vírus módosítja a visszaadott file-méretet, illetve az általa létrehozott file-ok visszaadása helyett meghívja még egy alkalommal a megszakítást (a következőt adja vissza).

 

Egy víruskereső program egy file tartalmának megváltozását, vagy benne a vírust észlelheti. Egy lopakodó vírus képes akár egy fertőzött file-t eredetinek feltüntetni, azaz ha egy file-ból olvas egy program, akkor úgy manipulálja az olvasott byte-okat, hogy azok a fertőzetlen file-lal egyezzenek meg.

 

A lopakodás ellen csak a közvetlen lemezhozzáféréssel dolgozó víruskeresők eredményesek, de ha egy külön Boot lemezről indítjuk a gépet, akkor a vírus nem tud aktivizálódni, tehát felfedezhető.

 

Polimorf vírusok

 

A polimorf vírusok minden fertőzése másképp néz ki. Ezt úgy érik el, hogy tartalmaznak egy úgynevezett Mutation Engine-t. Ez a vírusrész a fertőzéskor fut le, feladata a "programírás", azaz a vírusnak megfelelő dekódolóprogram véletlenszerű utasításokból való létrehozása.

 

Ezt a legegyszerűbben a következő példán keresztül érthetjük meg: 1+2+3+4+5+6, a 6+5+4+3+2+1 és a 5+6+7 összeadás is 21-et eredményez, mégis teljesen másképp néz ki, más elemeket tartalmaz. Például 0-át az előző összeadásokba bárhol beszúrhattunk volna, a végeredmény nem változik.

 

A polimorf vírusok is így működnek. A 9 bites AL regiszter eggyel növelése egyértelműnek látszik: INC AL, azonban ezt a műveletet úgy is elvégezhetjük, hogy hozzáadunk 2-őt, majd levonunk 1-et (ADD AL,2 / DEC AL), általánosabban eggyel többet adunk hozzá, mint amennyit levonunk belőle. A dekódolóprogramban funkció nélküli utasításokat is elhelyezhet a vírus, ezek az előző példában a 0-nak felelnek meg.

 

Ebből látszik, hogy a polimorf vírusok felismerése nagyon bonyolult is lehet, ezért a víruskeresés nagy mértékben lelassulhat, a víruskeresőknek ezért különböző trükköket kell alkalmazniuk. Az ilyen vírusok elemzése is viszonylag sokáig tart.