Со 2-го по 8-е февраля 2020 г. наш офис в г. Бишкек будет закрыт, мы отбываем в Европу на очередной семинар по восстановлению информации, который будет происходить в офисе одного из наших партнеров.
Во время нашего отсутствия Вы можете связаться с нами по электронной почте, WhatsApp, Telegram или Viber.
Когда вышла из строя USB-флешка, как минимум в половине случаев это связано с тем, что она не была извлечена из компьютера корректно. Почему так происходит? Давайте разберемся.
USB и Plug-and-Play
Один из неоспоримых плюсов USB — легкость его монтирования в операционную систему. Принцип Plug-and-Play (вставил и работай) реализован давно, и для разных устройств, но все же наиболее полно он оказался открыт для USB-устройств. Подключая к компьютеру USB-флешку, смартфон, камеру, мышку или любое другое устройство с этим интерфейсом, мы получаем это устройство работающим практически незамедлительно после подключения. Поддержка устройств USB давно стала общемировым стандартом практически для всех операционных систем.
Не многие помнят, как это было в Windows 95, Windows 98 и других операционных системах того времени. Для того, чтобы подключить USB-флешку, требовалось сначала установить ее драйвер: или с дискеты, или с CD-ROM. Только после установки драйвера флешка начинала распознаваться в системе и с ней можно было работать. Соответственно, для того, чтобы перенести данные с одного компьютера на другой на этой самой флешке, требовалось нести с собой и диск с драйверами — в противном случае перенос был невозможен.
Скорости USB. Быстрее, выше, сильнее!
Надо ли говорить о том, что скорость работы первых устройств USB, ограниченная интерфейсом USB первого поколения, была весьма и весьма скромной?
Настоящий прорыв наступил с разработкой стандарта USB 2.0 в 2000 году и последовавшим за ним выходом в 2001 году Windows XP. Эта операционная система уже широко поддерживала огромный спектр USB-устройств, для их использования уже не требовалось установки каких-то особых драйверов (лишь в редких случаях, для устройств, для которых Windows XP не имел встроенного драйвера: некоторые сканеры, принтеры и т.п.; устройства хранения информации на базе интерфейса USB требовали установки особого драйвера крайне редко). Стандарт USB 2.0 обеспечивал неплохую скорость, и шина из Useless Serial Bus (бесполезная последовательная шина; так USB в шутку называли на заре его возникновения, поскольку устройств с его поддержкой было очень мало) революционными темпами превратилась в Universal Serial Bus (универсальная последовательная шина).
Однако скоростей USB 2.0 очень быстро перестало хватать, и разработчики стандарта предложили USB 3.0 — стандарт, скорости которого были максимально приближены к SATA. За короткое время были разработаны три стандарта: 3.0, 3.1 и 3.2; в итоге производители решили, что для третьего поколения USB стандартов как-то многовато, и объединили их все под крылом USB 3.2.
В настоящее время устройства с интерфейсом 3.2 позволяют, например, копировать огромные объемы информации за короткое время. При соблюдении некоторых условий реальная скорость работы внешнего твердотельного диска на шине USB 3.2 будет больше, чем скорость работы внутреннего жесткого диска на интерфейсе SATA.
Безопасное извлечение USB-устройства. Как это работает?
Ну а теперь можно поговорить и о том, о чем, собственно, написана эта статья. Что такое безопасное извлечение USB-устройства?
Впервые эта функция появилась в операционной системе Windows XP, и была реализована на уровне драйверов системы. Конкретно за безопасное извлечение устройств в Windows отвечает драйвер hotplug.dll.
Для того, чтобы безопасно извлечь USB-устройство, нужно перевести указатель мышки в область системного трея, где выбрать соответствующий значок (см. скриншот выше). После этого нажать на него, подождать, пока система оповестит о возможности безопасного извлечения, и уже после этого извлекать устройство.
При активации безопасного извлечения устройства происходят следующие акции:
Если в очереди записи/чтения на устройство имелись задачи, им ставится наивысший приоритет и производится их выполнение и финализация.
Производится очистка системных областей буферной памяти, имеющих отношение к отключаемому устройству.
Закрываются окна, имеющие отношение к отключаемому устройству (работает не во всех версиях операционных систем).
Производится отмена любых операций внутренней активности устройства с их завершением.
Отключается питание с порта USB, где будет извлекаться устройство, или этот порт переводится в режим ожидания.
Почему так важно безопасно извлекать устройство?
Давайте теперь представим, как будет работать USB-устройство, если мы не используем безопасное извлечение и выдергиваем это устройство, что называется, на живую.
Начнем с того, что устройство вполне может не содержать тех данных, которые вы на него отправили. Я уже показывал то, как работает отложенная запись Windows (ниже привожу это видео еще раз).
Другими словами, то, что вы отправили на устройство какие-то файлы, при небезопасном извлечении устройства вовсе не гарантирует того, что эти файлы будут на вашей флешке.
Это первая опасность.
Вторая опасность заключается в том, что при небезопасном извлечении устройства оно может выйти из строя. Небольшой перекос при извлечении, неравномерность движения в разъеме, слишком сильный нажим и т.п. — могут привести к тому, что произойдет электрическое повреждение устройства (а при небезопасном извлечении оно в разъеме находится под током). После этого устройство остается или ремонтировать, или (в случае невозможности ремонта) восстанавливать более радикальными методами, связанными с выпаиванием NAND-микросхем.
Третья опасность — возможный выход из строя микропрограммы устройства. Любой USB-накопитель, кроме микросхем, в которых хранятся данные (NAND-микросхемы), имеет контроллер. Этим контроллером и управляется устройство. Для функционирования устройства имеется микропрограмма, одной из важных частей которой является трянслятор.
Транслятор — это часть микропрограммы, которая соединяет физиескую адресацию пространства внутри флешки с логической адресацией пространства для операционной системы. Грубо говоря, физические адреса секторов переводятся в LBA, понятные операционной системе. При этом физически первый сектор для Windows во флешке может быть где-то в середине или в конце (совпадение физической и логической адресаций нынче скорее исключение, чем правило).
Так вот, во включенном состоянии флешка довольно часто совершает операции по оптимизации своего адресного пространства, производя соответствующие изменения в микропрограмме. Если в момент начала записи каких-то критических данных флешку выдернуть из компьютера, то эти данные записаны не будут. При следующем включении микропрограмма начнет искать эти данные, не сможет их найти и, как следствие, остановит работу. Устройство попадет в состояние «ошибка». Вывод из ошибки USB-устройств возможен далеко не всегда, для восстановления данных могут потребоваться довольно дорогостоящие процедуры.
Ну и еще одна опасность (четвертая) — это возможный выход из строя внешних жестких дисков, подключаемых через USB. Внешние жесткие диски получают питание через USB, и, соответственно, при внезапном обесточивании (то есть небезопасном извлечении) могут не успеть запарковать головки. При этом головки останутся на поверхности, упадут на нее, что неизбежно приведет к повреждению и головок, и поверхностей — а значит, к потере данных. Извлечение данных с USB-дисков с заклинившими на поверхности головками часто является весьма нетривиальной задачей.
Пятая опасность — выход из строя самого разъема USB. Это возможно по тем же причинам, которые характерны для второй опасности.
Как обычно. Пара практических советов в конце =)
Первый и самый главный совет — не забывайте о безопасном извлечении устройств. Даже если вы очень спешите — поверьте, лишние 20 — 30 секунд, потраченные на эту несложную операцию, могут уберечь вас от значительно больших затрат времени, к которым может привести потеря данных.
Второй совет. Извлекая устройство, старайтесь не перекашивать его, ведь после активации протокола безопасного извлечения часто USB-порт находится в режиме ожидания, и при перекосе может случиться так, что флешка потеряет контакт с портом и потом восстановит его; для системы это будет сигналом того, что в порт попало новое устройство, и система начнет процедуру его определения и использования. А вы при этом устройство уже извлекаете. Системные или аппаратные ошибки при этом весьма вероятны.
Часто спрашивают, что делать, если информацию хранить и перемещать надо, а внешние жесткие диски использовать страшно (уронил — и все, прощайте данные). Чтож, сейчас проблем никаких нет: можно купить или собрать внешний твердотельный диск. Как мы уже писали ранее, одно из достоинств твердотельных дисков (SSD) — это их хорошая устойчивость к физическим воздействиям, в том числе — ударам и вибрациям.
Самый простой способ — пойти в магазин и купить внешний SSD. Однако такое устройство будет заведомо дороже того, что можно собрать самому — при этом функционал собранного самостоятельно внешнего SSD от магазинного отличаться не будет. Скажу больше — вы можете собрать внешний SSD с гораздо более выгодными параметрами, в том числе — и внешними. Вы можете выбрать тип и цвет корпуса, тип SSD, который будет установлен внутрь, тип соединения (интерфейс) и т.п.
Потребуется подобрать три вещи. SSD, корпус для него и кабель (обычно он входит в состав корпуса, но бывает всякое).
Начнем с SSD. Я советую выбирать накопители с интерфейсом M.2, просто потому, что они быстрее и дешевле. К тому же, они меньше стандартных 2.5′ SSD физически, и корпуса для них также меньше. Наиболее оптимальный объем SSD M.2 на текущий момент — 500 (512) Гбайт. Такие диски имеют наиболее выгодную стоимость. Например, SSD ADATA SX6000LNP будет стоить в Бишкеке на момент написания этой статьи всего 60 долларов США.
На Aliexpress такой диск будет стоить немного дешевле — например, SSD Netac N930E Pro 512 GB стоит на момент написания статьи около 55 долларов США.
Теперь будем выбирать корпус для внешнего SSD. Делать это можно в ближайшем компьютерном магазине или, что намного лучше — в интернет-магазине с хорошим выбором. Например, я пользуюсь Aliexpress. По запросу SSD M.2 external enclosure вы получите сотни товаров, среди которых можно не спеша выбрать то, что вам понравится по форме, цвету, интерфейсу и т.п.
После выбора корпуса обратите внимание на тип кабеля и наличие его в комплекте. Обычно корпус внешнего SSD комплектуется необходимым кабелем, но это может быть и не так. Если кабеля нет, докупите его — в любом компьютерном или телефонном магазине имеется весь набор используемых в настоящее время USB-кабелей.
После того, как вы добыли корпус, SSD и кабель, приступаем к сборке. Это абсолютно легкая процедура, одинаковая практически для всех внешний SSD с разъемом М.2.
1. Подготавливаем USB-коробку для SSD-диска.
2. Разбираем USB-коробку, достаем из нее электронную плату, на которую будет установлен SSD.
3. Устанавливаем SSD на печатную плату и закрепляем его на ней специальным шурупом (входит в комплект поставки USB-коробки).
4. Помещаем плату с установленным SSD в корпус.
5. Закручиваем крепежные шурупы, вставляем интерфейсный кабель, подключаем SSD к компьютеру и наслаждаемся нашим устройством.
Еще даже не закончилась праздничная неделя нового года, а нам уже пришлось восстанавливать информацию. Да, приходится работать даже в выходные и праздники. Как сказал бы Мандалорец, «таков путь».
В первые дни 2020 к нам обратились со следующими устройствами: 3 жестких диска, две флешки и один iPhone. Расскажу кратко о каждом.
Первый жесткий диск привезли из города Ош — информация нужна была быстро, так как без нее встала работа целой организации. Пришлось подсуетиться и между тостами за праздничным столом (диск приехал 31 декабря еще прошлого года) произвести замену блока магнитных головок и вычитывание диска. Работу удалось выполнить в стахановском режиме всего за сутки, ровно в новогодние праздники: 31 декабря 2019 и 1 января 2020.
Второй жесткий диск — ноутбучная Toshiba. Ноутбук упал во время работы, и диску хорошо досталось. Восстановление данных оказалось возможным, хотя также, как и в первом случае, потребовало хирургии: замена блока магнитных головок.
Третий диск, хвала богам, физически не пострадал. Это оказалась также, как и в предыдущем случае, ноутбучная Toshiba, доставшаяся ее текущему владельцу по наследству от умершего родственника. Требовалось выяснить, какие файлы были удалены после того, как владелец компьютера отошел в мир иной, когда это было сделано, и по возможности восстановить эти файлы. Работа не простая, но вполне выполнимая.
Теперь об iPhone. Очень интересный случай. Аппарат абсолютно исправен, но при обновлении не смог обновиться и выдал соответствующую ошибку. Владелец запаниковал и побежал в ЦУМ, где ему произвели самый простой и доступный в этом случае тип сервиса: обновление прошивки через компьютер («восстановление»). Но поскольку первоначально обновление закончилось ошибкой, ЦУМовский «специалист» просто стер аппарат и перепрошил его как новый. Естественно, все данные при этом были утеряны безвозвратно. Пришлось восстанавливать аппарат из резервной копии, которая была создана программой iTunes на компьютере пользователя перед тем, как он начал обновлять свой iPhone. Почему он сам не восстановил телефон из резерва? Выше я написал — он запаниковал, и напрочь забыл о том, что у него есть эта резервная копия =).
Первая флешка в Новом году оказалась 32 Гб монолитом производства HIKVISION. Увы, монолит оказался абсолютно мертв, и без распайки или разводки его на Spider Board восстановление данных с него невозможно. Заказчик забрал флешку до лучших времен — восстановление с нее информации — дело не из дешевых, так как и производитель еще малоизвестен (а значит, пинаут монолита придется выяснять опытным путем), и само исполнение (монолит) требует использования дорогостоящего оборудования.
Вторая флешка 2020 оказалась попроще: microSD с удаленными файлами. Их удалось восстановить почти все.
Поздравляем вас с наступившим Новым годом и желаем не терять ваши данные!
Очередной заказ на восстановление информации, увы, из категории «безнадежный». Диск прибыл во вскрытом состоянии и с весьма плачевным состоянием поверхностей. Головки сорвало в парковочной зоне (скорее всего, упор позиционера деформировался, что привело к удару слайдерами об ось шпинделя). В парковочной области образовался концентрический запил.
Такие типы запилов (тем более, в парковке) можно обойти. Это не просто, но возможно (модифицируется программа старта накопителя, который, вместо того, чтобы проводить полный цикл запуска с рекалибровкой, просто позиционирует головки в нужное нам место). Если бы проблема была только с запилом в парковочной зоне, за данные можно было бы еще повоевать.
Но, увы, заказчик решил самостоятельно демонтировать блок магнитных головок (для чего, сформулировать не смог). Работал без защиты от пыли и грязи, на обычном письменном столе. Как результат: отпечатки пальцев на поверхностях (что в целом не страшно и может быть убрано) и (что намного хуже) несколько радиальных царапин неправильной формы.
Радиальные царапины полностью исключают возможность использования донорского блока магнитных головок, так как при каждом вращении головки неизбежно попадут в область турбулентности, генерируемую царапиной, очень быстро перегреются и выйдут из строя. Кроме того, неизбежны микротравмы поверхности выбиваемой из этих царапин пылью.
Мобильный телефон очень для многих сейчас заменяет практически все компьютерные устройства: это и фотокамера, и склад фотографий, и калькулятор, и мессенджер (причем не один), и средство доступа к банковским счетам, и средство платежа, и многое другое. Собственно, как телефон — средство связи — он сейчас используется намного меньше, чем все остальное. Просто проанализируйте: как часто вы делаете телефоном фотографии и как часто вы совершаете им же звонки. Разница будет разительной.
Именно поэтому резервное копирование вашего телефона превращается в задачу насущной необходимости, ведь очень часто пользователь не помнит ни логинов, ни паролей, которые когда-то давно ввел в своем телефоне для десятков приложений; не помнит пин-кодов, номеров телефонов наиболее важных контактов, и т.п. Потеря телефона или данных с него будет в этом случае равносильна потере связки ключей: от квартиры, от машины, от гаража… И если другой такой связки у вас нет, то придется вызывать специалистов для взлома дверей, а потом все это ремонтировать и восстанавливать.
Для того, чтобы подобных вещей не происходило, мобильный телефон время от времени требуется резервировать. Это не так сложно, как кажется. Мы рекомендуем производить резервное копирование вашего аппарата еженедельно — тем более, что для этого не потребуется много времени.
Разбиваем резервное копирование телефона на части
Давайте для начала решим, что будем резервировать. Это отнюдь не праздный вопрос — ведь от того, какой тип резервирования вы выберете, будет зависеть то, насколько быстро в случае проблем вы сможете вернуть назад функционал вашего мобильника.
Очевидно, что наиболее ценными данными являются данные приложений (явки, пароли, настройки), контакты, заметки и переписка. Вслед за ними — медиаданные (фотографии и видео). Последний уровень ценности — музыка и другой развлекательный контент. Все остальное принципиальной ценности обычно не имеет.
Таким образом, первое, что следует резервировать — это данные приложений, контакты, переписку. Затем — фотографии, видео. И, наконец, в последнюю очередь (если нужно) — музыку.
Лайфхак: резервируем фотографии в облако. Все, бесплатно и навсегда
Очевидно, что фотографии и видеофайлы — это самый «тяжелый» кусок данных телефона. И их резервирование будет занимать массу времени. Но есть красивое и легкое решение: Яднекс Диск для мобильного телефона.
Установив Яндекс Диск (это можно сделать из Google Play Market если у вас телефон под управлением Android или из App Store если у вас iPhone или iPad), достаточно войти в ваш Яндекс-аккаунт (если у вас такого нет, то его можно создать в процессе открытия приложения) и разрешить автозагрузку фотографий и видеофайлов в облако. Все. Процесс загрузки файлов в облако начнется незамедлительно, и через некоторое время (в зависимости от того, как много данных такого типа хранится в вашем телефоне на момент включения этой опции) все ваши фото и видео будут закачаны на Яндекс Диск. Все, что вам нужно, чтобы не потерять к ним доступ — помнить логин и пароль от этого сервиса.
Автозагрузка фото и видео на Яндекс Диск хороша еще и тем, что сервис делает это автоматически. Как только вы отсняли новый материал, и условия сети позволяют залить файлы в облако (возможно две опции — заливать только по Wi-Fi, или использовать любую сеть), они будут туда залиты. Потерять при этом фото довольно проблематично.
Кроме того, Яндекс обещает безлимитное хранение фото и видео в своем облаке. То есть вы можете не думать о том, сколько там еще места осталось в вашем облаке.
Не бойтесь подключать на один аккаунт Яндекс Диска несколько устройств. Фотографии будут закачиваться в облако со всех телефонов.
Резервирование Apple iPhone: так просто, как это может быть
Резервирование Apple iPhone — очень простая операция. Для того, чтобы полностью зарезервировать ваш телефон, вам понадобятся три вещи: сам телефон, компьютер и кабель для соединения телефона с компьютером.
Установите на компьютер программу Apple iTunes. Скачать ее можно с сайта apple.com. После этого подключите ваш iPhone (или iPad) через кабель к компьютеру. Телефон распознается автоматически; скорее всего, он потребует разрешить или запретить доверять компьютеру. Выберите «Доверять». После этого телефон будет открыт в программе iTunes. Подождите некоторое время, пока программа загрузит с телефона всю необходимую информацию. После этого в верхней левой части программы, около значка «Музыка», появится пиктограмма вашего телефона. Нажмите на нее, и откроется меню управления аппаратом. Выберите «Обзор»; тут и находятся волшебные кнопки управления резервированием. Выберите то, что вам удобнее (я обычно создаю локальную копию, это быстрее; не забудьте выбрать и галочку о шифровании локальной копии), а затем нажмите кнопку «Создать копию сейчас». Процесс резервирования займет некоторое время.
Вернуть телефон к состоянию, на которое сделана резервная копия, можно с помощью кнопки выше — «Восстановить iPhone».
Apple iTunes. Меню управления резервным копированием
Резервирование телефона под управлением Android: используем встроенные инструменты
Для того, чтобы создать резервную копию телефона под управлением Android, также не требуется никакой особой подготовки. В подавляющем большинстве случаев достаточно встроенных в операционную систему инструментов.
Этапы резервирования телефона на внешний носитель (карту microSD) в телефоне Huawei Honor 7C (Android 8.0)
Расположение меню «Восстановление и сброс» и интерфейс создания резервных копий в телефоне Philips Xenium (Android 4.2.2)
Инструменты резервного копирования в телефонах под управлением Android всегда расположены в блоках меню личных данных. Возможно два типа резервного копирования: в облако (на сервера Google) и на внешний носитель (в версиях Android начиная с 6.0; для асти телефонов может быть реализовано в более ранних версиях; в некоторых телефонах может быть не реализовано).
При копировании в облако восстановление телефона возможно только при его инициализации: когда вы введете установочные данные вашего Google-аккаунта, система просканирует его на предмет наличия резервных копий и, в случае их обнаружения, предложит восстановление из резерва. В отличие от этого, восстановление из локальной копии возможно в любое время.
Заключение. Пара советов и пара выводов
Как видите, резервирование мобильного телефона — задача вполне посильная даже для неискушенного в компьютерных делах пользователя. Выводы из этой статьи чрезвычайно просты: выполнение резервирования телефона целиком (а не отдельных его частей) наверняка гарантирует отсутствие головной боли при восстановлении доступа к вашим аккаунтам, переписке, контактам и т.п. в случае непредвиденной утери аппарата или данных с него; сама процедура резервного копирования телефона что в облако, что на локальный компьютер или карту памяти настолько удобны и просты, что пренебрегать этим нелогично и неправильно.
Ну и пара советов.
Совет 1. Как определить, когда требуется зарезервировать ваш телефон? Тут все просто. Когда объем критичных для вас данных после последнего резервирования уже таков, что потеря этих данных окажется невосполнимой. Можно поступить просто и настроить периодичные резервирования — скажем, один раз в неделю. В этом случае, если резервирование происходит в облако, вы даже о нем не узнаете.
Совет 2. Периодически проверять, производятся ли резервирования. Доверять автоматике полностью не стоит: если в системе случился какой-то сбой, то резервирования в автоматическом режиме могут и прекратиться.
Сегодня к нам в лабораторию поступил довольно любопытный диск. Нет, вначале мы подумали, что это будет рядовой, заурядный заказ — Western Digital на 500 Гбайт, ничего вроде бы особенного, но… При подключении диска к ПАК РС-3000, после вывода диска на интерфейс, оказалось, что его емкость 320 Гбайт, а серийный номер диска при идентификации отличается от того, который написан на этикетке.
Тщательный осмотр показал: гермоблок накопителя относится совсем к другому семейству. Судя по этикетке, диск должен быть Tahoe и иметь явственно выраженные ребра по краям крышки гермозоны. По факту же накопитель оказался из семейства Rider с соответствующим строением крышки.
Собственно, те, кто подделал накопитель, особенно и не скрывали своей активности. Торцевая этикетка накопителя, дублирующая серийный номер, даже не была отделена от печатной основы — мы легко удалили ее, и нашему взору предстала оригинальная, исходная этикетка с серийным номером.
Вполне логично спросить: а для чего наклеивать на накопитель емкостью 320 Гбайт этикетку, на которой указано 500? Кто знает… Судя по истории этого компьютера, был он куплен давно, в те времена, когда такая разница в емкости была существенной по деньгам. Поэтому, думается, меркантильный интерес тут самый оправданный.
26 ноября 2019 г. на сайте компании Microsoft появилась пугающая новость: специалисты компании около года назад обнаружили заражение вирусами нового типа; на текущий момент заражено более 80 000 компьютеров по всему миру. Это новый вирус-майнер, который очень сложно обнаружить и еще сложнее уничтожить в силу того, что он имеет полиморфную структуру — то есть массу видоизменений.
Мы уже писали про вирусы-майнеры, поэтому остановимся на них лишь кратко. Вирус-майнер, в отличие от любого другого, имеет, как правило, всего одну цель: использовать ресурсы вашего компьютера для добычи криптовалюты. При этом вы оплачиваете весь банкет злоумышленника: при добыче криптовалют тратятся электроэнергия (это основной внешний ресурс, необходимый для процедуры майнинга) и вычислительные мощности вашей машины (ваша система может начать работать медленнее). Один такой вирус не заработает много денег, однако при создании сетей из майнинговых компьютеров доходы злоумышленника могут быть вполне осязаемыми.
Очевидно, что при заражении 80 000 машин, даже если одна машина будет майнить количество криптовалюты, эквивалентное 10 центам в день, общий доход злоумышленника составит не менее 8 000 долларов. Ежедневно. Очевидно, что овчинка вполне себе стоит выделки.
Новый вирус получил название Dexphot. Заражение компьютеров производится в виде последовательности из нескольких этапов, описанных на сайте Microsoft следующим образом:
При осуществлении атаки вирус записывает на диск файл-инсталлятор, содержащий две ссылки, с которых впоследствии будет скачиваться основной код.
С одного из этих URL скачитвается инсталляционный пакет.
После этого на диск разворачивается защищенный паролем и зашифрованный архив в формате zip.
Из этого архива разворачивается загрузочная библиотека.
Загружается зашифрованный файл, в котором содержатся три исполняемых файла, которые загружаются в системные процессы посредством process hollowing (осуществляется инъекция).
Блок-схема методов заражения содержится на сайте Microsoft и приводится здесь:
Блок-схема атаки компьютера вирусом Dexphot
Как отмечают специалисты Microsoft, в силу того, что заражение и работа вируса происходят разными способами, его надежная идентификация затруднена. Кроме того, после заражения исполнение вируса происходит по невидимой безфайловой технологии: легитимный системный процесс заменяется на вредоносное содержание и затем запускается из легитимного системного источника (библиотеки или исполняемого файла). При таком методе запуска, когда все изменения кода производятся «на лету» в памяти машины, идентифицировать источник заражения практически невозможно.
Полиморфизм вируса заключается прежде всего в том, каким образом он атакует компьютер. Инсталляционный пакет, загружаемый на компьютер-жертву, на текущий момент существует в 22 разных вариациях (и вовсе не факт, что это окончательное число), в которые входят файлы разных названий, размеров и т.п. Кроме того, количество URL, используемых вирусом для загрузки своего кода, на текущий момент составляет 18 (и, вполне вероятно, это число также может быть занижено). Таким образом, вирус может комбинировать огромное количество комбинаций для заражения: учесть их все стандартный антивирус не в состоянии.
Что же делать? Следовать советам Microsoft, конечно. Они первыми обнаружили эту угрозу, детально ее исследовали — ими же и разработаны методы борьбы. Эти методы — Microsoft Defender Advanced Threat Protection. Вы можете скачать пробную версию этого продукта с сайта Microsoft (ссылка выше), и если вам она понравится — купить ее.
Задача. Восстановить данные с переломленной флешки.
Описание проблемы. Флешка имеет физическое повреждение: переломлена.
Результаты диагностики. Методом визуального осмотра определено, что флешка переломлена в области соединения USB-разъема.
Необходимые для восстановления информации процедуры.
Распайка разъема USB на монтажной плате.
Напайка проводников для соединения флешки и USB-разъема.
Проверка соединения.
Включение флешки в штатном режиме, копирование данных заказчика.
Результат.
Данные восстановлены полностью.
Особенности заказа.
Такие заказы обычно не являются сложными, так как возможность привести устройство к состоянию «чтение в штатном режиме» всегда лучше, чем восстановление информации в технологическом режиме.
Задача. Восстановить данные с разбитого мобильного телефона Philips Xenium W6500.
Описание проблемы. Телефон подвергся серьезному физическому воздействию, экран разбит.
Результаты диагностики. Телефон частично исправен: на звук включается. Принято решение восстанавливать данные без распайки eMMC.
Необходимые для восстановления информации процедуры.
Перевод телефона в режим Recovery.
Снятие графического ключа.
Рестарт телефона в нормальном режиме.
Получение root-доступа.
Установка в аппарат необходимых утилит.
Клонирование телефона в файл, извлечение данных из полученного файла-образа.
Результат.
Данные восстановлены полностью.
Особенности заказа.
Основная сложность при выполнении данного заказа заключалась в том, что у телефона не работает дисплей. Получить доступ к информации можно было двумя способами: установить новый модуль дисплея (в силу старости аппарата, его пришлось бы ждать от недели до двух), либо клонировать аппарат по USB. Было принято решение идти по второму пути, так как он был очевидно быстрее. Для загрузки в телефон нужных приложений использовался отладочный режим. Удачей было то, что в телефоне уже был включен режим разработчика и отладка по USB; если бы этого не было, возможен был бы только первый вариант, либо выпаивание микросхемы памяти и прямое ее чтение.