Htsoio | Bilişim ve İnternet
  Hard Diski Kurtarmak
 
Hard Diski Kurtarmak
Normal 0 21 false false false TR X-NONE X-NONE MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Normal Tablo"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:"Times New Roman"; mso-fareast-theme-font:minor-fareast; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi;}

DİKKAT: Win9x.CIH virüsü

Burada sizlere Win9x.CIH virüsü hakkında bilgi vermek istiyorum.

Bu virüs pek çoğumuzun başını ağrıtıyor.Virüs, bulaştığı programlarda herhangi bir boy uzamasına sebep olmadığından detaylı bir inceleme yapmadan virüsü tespit edebilmek zor.Win9x.CIH virüsünün 1-2 bugı var.Bu buglardan faydalanarak sisteminizde bu virüsü kolayca tespit edebilirsiniz. Aklıma ilk gelen şu; Mesela CD sürücünüzden bir dosyayı sabit diskinize kopyalamak isterseniz, dosya hatalı kopyalanıyor, kopyalama işlemi sonucunda dosyanın çalışmadığını görüyorsunuz.

Şu virüsün özelliklerine bir bakalım

Bulaştığı Dosyalar

32 bit Portable Executable

Virüs bulaştıktan sonra dosyadaki boy uzaması

0 byte

Çalıştığı işletim sistemleri

Windows 9x (NT'de çalışmıyor)

Varyant sayısı

3


Virüs yukarıda da belirttiğim Win9x.CIH virüsü NT sistemlerinde çalışmaz, kodu NT altında çalışacak şekilde değildir.Win9x.CIH virüsününün bilinen 3 varyantı da yakın tarihlerde yazılmıştır ve yaklaşık olarak 1000 byte civarındadır. Bütün varyantlar, şifrelenmiş bir metin içerir.Aşağıdaki tabloda bunları görebilirsiniz.

Uzunluk

Metin

Tetiklenme tarihi

1003

CCIH 1.2 TTIT

26 Nisan

1010

CCIH 1.3 TTIT

26 Haziran

1019

CCIH 1.4 TATUNG

Her ayın 26.cı günü


Win9x.CIH, yukarıdaki tabloda görebileceğiniz tarihlerde aktifleşir.Virüs aktifleştiğinde, harddisk üzerindeki verilerin üzerine yazmaya başlar.Bunun yanısıra virüs,sistemdeki FlashBIOS çipini resetlemeye çalışır. Virüs, FlashBIOS'a ulaşmak için direkt erişim portlarını, diske erişebilmek içinse VxD direkt disk erişimini (IOS_SendCommand) kullanır.
Günümüzdeki makinelerde FlashBIOS olduğunu düşünürsek olayın ciddiyeti ortaya çıkar. FlashBIOS çiplerinin kontrol edilmesi, board üzerindeki jumperlar tarafından disable/enable edilebilse de, genelde bu ayar enabled şeklindedir.Yani virüs aktifleştiğinde rahatça FlashBIOS çipinizi uçurabilir.FlashBIOS çipinin uçması demek aynı zamanda makinenin de uçması demek.Bilgisayarın boot edilmesi için BIOS programı gereklidir.Virüs te BIOS programını uçurduğu için sistemi açmak mümkün olmaz..(Burayı anladınız sanırım)

Şimdi virüslerle ilgilenenlerin bu virüsle ilgili merak ettiklerini düşündüğüm 'nasıl oluyor da virüsün bulaştığı programın boyu uzamıyor' konusuna bakalım.

Bunun için öncelikle PE tipi programların yapıları hakkında az çok bilgi sahibi olmak gerek. PE header Windows 95/98/NT sistemlerinde kullanılıyor. Bu tip dosyaların 003Ch ofsetlerinde PE header'ın EXE dosya içindeki konumu yer alır.Buradaki ofset adresine bakarsak burada PE karakterlerini görürüz.Buradan itibaren PE header yer alır. PE header yapı itibarıyla pek çok boşluklu alanlar içerebilir ki hemen hemen bütün PE tipi programlarda görüleceği üzere PE headerın hemen ardında epeyce bir bölüm boştur.
Win9x.CIH, kodunu bu gibi kodu için yeterli boş olanlara yazar. Bunun sonucunda virüslü programlarda herhangi bir boy uzaması olmaz.

DOS EXE başlığı ve DOS kodu
PE (Portable Exe.) başlığı
Reassembly kodu
Virüs kodu bölüm #1
PE bölümü #1
Virüs kodu bölüm #2
PE bölümü #2
Virüs kodu bölüm #x
PE bölümü #x

Win9x.CIH virüsünün PE EXE dosyaları içindeki yerleşim


Win9x.CIH virüsünün bulaştığı bir programı, temiz bir makinede çalıştırdığınızda, virüslü program Int 03'ü çağırır ve DR0 (Debug register0) yazmacına bakar. DR0 yazmacında sıfırdan farklı bir değer varsa virüs daha önce hafızaya yüklendiğini anlar ve kontrolü ana programa bırakır.Eğer DR0 yazmacında sıfır değeri gelmiş ise virüs Int 03'ü Interrupt Kesilme tablosuna direkt müdahale ederek kontrol altına alır. Int 03 genelde debuggerların breakpoint noktalarında program çalışmasına ara vermek için kullandıkları bir kesilmedir.
Virüs bu sayede kodunun disassembly edilmesini engellemeye çalışır, bu aynı zamanda virüs kodunun CPU Supervisor seviyesinde çalıştırılmasını sağlar.
Eğer makinenizde Win9x.CIH virüsü varsa veya bu virüse karşı bir arama yapmak istiyorsanız, Antivirüs üreticilerinin web sayfalarından en son sürümleri download ederek, makinenizi bu virüse karşı tarayın.


Win95.CIH Anakartınızı yaktı. Ve Hard diskinizi sildi. Hiçbir masraf ödemeden hepsini kurtarmanın yolunu anlatıyorum. Çok iyi okuyun.!!


Anakartı Kurtarmak
Başa Dön

Not: Aşağıdaki işlemleri bilgisayarın içini açıp ta halledeceksiniz. Eğer anlamıyorsanız Anakart ile daha önce uğraşmış bir arkadaşınıza söyleyin bu yazıyı. O size uygulasın. ( Para isterse sakın vermeyin. ) Ayrıca elektrik gider veya bilgisayar kapanırsa arkadaşınızın anakart 'ı yanabilir.

1- Şimdi anakartı sizin anakartınızla aynı olan bir arkadaşınıza gidin, (Marka ve Model aynı olmalı.. Eğer aynı model bulamazsanız çok yakın bir model arayın. Bozuk makinenizdeki BIOS 'u çıkaracaksınız. Ve Arkadaşınızın evine götüreceksiniz.
(Flash BIOS'unuzun tutulduğu çok ayaklı entegre devre. Hani bizim CIH 'in sildiği yer orası işte. Zaten anakartınızın üzerinden sökülebilen tek devre.)

2- Arkadaşınızın sistemini DOS 'tan temiz bir disket ile boot edin. Tabi boot disketine anakartınızın Flash Memory Update Software 'ini koyun.Hazırda yoksa anakartınızın sitesinden kolaylıkla bulabilirsiniz. (BIOS dosyasını bulamasanız da olur. Flash Utility'lerinin hepsi arkadaşınızın BIOS'unu disketinize yazabilir.)

3- İşte en önemli bölüme geldik. Arkadaşınızın bilgisayarını başlatın. BOOT ettik. Ve bilgisayar karşımızda içi açık ve çalışır biçimde bekliyor. Şimdi çok zarif ve dengeli hareketlerle BIOS 'u anakartın üzerinden çıkarın. ( Not: Flash belleğe değmeden önce çok dikkatli olmalısınız. Üzerinizde Statik elektrik varsa hasar olabilir.Yanlış bir harekette bilgisayar kilitlenir.Elektriği kesip , Flash 'ı yerine koyup yeniden başa dönün.)

4- Kendi makinenizden söktüğünüz BIOS 'u arkadaşınızın BIOS 'unu çıkardığınız aynı yere takın. Ve boot disketine koyduğunuz BIOS update programını çalıştırın. Bu program silinmiş BIOS 'unuzu programlayacaktır. Bu vakte kadar her şey normal giderse ve program BIOS UPDATED gibi bir şeyler söylerse bilgisayarı kapatın. Sonra kendi BIOS'unuzu arkadaşınızın bilgisayarından çıkarın.(Not: Artık BIOS 'unuzu düzelttiniz. Elinizdeki BIOS'unuzu evinize götürüp bilgisayarınıza takın, çalışacaktır.!) Ve Arkadaşınızın BIOS'unu eski yerine takın.


Hard Disk 'i Kurtarmak
Başa Dön

HDD 'deki BÜTÜN verileri kurtarmak için çok güzel bir program.
Programın amacı : Virüslerin bozduğu veriyi kurtarmak, Formatlanmış veriyi kurtarmak, "fdisk" lenmiş veriyi kurtarmak,Enerji kesilmesinden giden veriyi kurtarmak, bazı programların yanlışlıkla sildiği veriyi kurtarmak. Programın, her sistem için ayrı versiyonu var. İlk önce alttaki programdan işletim sisteminize göre olanı download edin.

[FAT16] [FAT32] [NT] [NOVELL] [ZIPDRIVE][Programın Keygen 'i]

Sistem disketinize download ettiğiniz programı koyun(Zip 'i açarak). Bilgisayarınızı aynı sistem disketi ile başlatın. Sonra programı çalıştırıp HDD'nize RECOVER 'ı seçin.Bütün bilgileriniz geri gelmeye başlayacaktır.

 
  ©2011 | ßilişim ve İnternet Kulübü™