Просмотр каталогов
Для просмотра каталогов с целью проверки их структуры мы воспользуемся программой DISKEDIT.EXE.
Запустите эту программу и из меню Object выберите строку Directory. На экране появится диалоговая панель Change Directory, показанная на рис. 6.29.
Рис. 6.29. Диалоговая панель Change Directory, предназначенная для выбора каталога
В левой части диалоговой панели отображается дерево каталогов текущего диска. Выберите в нем корневой каталог C:\ и нажмите кнопку OK. После этого на экране появится содержимое корневого каталога в форматированном виде (рис. 6.30).
Рис. 6.30. Просмотр содержимого корневого каталога диска C: в форматированном виде
Анализируя полученную информацию, вы можете обнаружить подозрительные изменения в полях размера файла, даты и времени. Кроме того, для каждого файла в столбце Cluster отображается номер распределенного ему первого кластера.
С помощью меню View можно переключиться в режим неформатированного просмотра, когда содержимое каталога отображается в виде дампа (рис. 6.31).
Рис. 6.31. Просмотр содержимого корневого каталога диска C: в виде дампа
Обратите внимание на меню Link. С помощью этого меню вы можете переходить к просмотру логически связанных между собой структур файловой системы (рис. 6.32).
Рис. 6.32. Меню Link позволяет просматривать логически связанные стркутуры файловой системы
Выделите в корневом каталоге диска C: файл IO.SYS, как это показано на рис. 6.32, и затем выберите из меню Link строку Cluster chain (FAT). Вы окажитесь в режиме просмотра первой копии таблицы размещения файлов FAT, причем цепочка кластеров, выделенная файлу IO.SYS, будет выделена (рис. 6.33).
Рис. 6.33. Просмотр цепочки кластеров, выделенный файлу IO.SYS
С помощью строки File меню Link вы можете перейти в режим просмотра содержимого файла IO.SYS (рис. 6.34).
Рис. 6.34. Просмотр содержимого файла IO.SYS в виде дампа
Отметим, что во многих случаях можно выполнять переходы между логически связанными структурами данных двойным щелчком левой клавиши мыши по изображению этих структур, что очень удобно.
Подробности вы найдете в документации к пакету Norton Utilities.
На что следует обратить внимание при проверке структуры каталогов?
Кроме визуальной проверки полей расположенных там дескрипторов следует просмотреть весь каталог до конца. Необходимо убедиться, что в каталоге отсутствуют посторонние данные, которые могут быть записаны туда вирусом.
На рис. 6.35 вы видите удаленный файл с именем хONFIG.SYS (бывший CONFIG.SYS) и свободные элементы каталога, отмеченные строкой Unused directory entry.
Рис. 6.35. Удаленный файл и свободные элементы каталога
Если перейти в режим неформатированного просмотра, то можно убедиться, что свободные элементы каталога содержат нулевые значения. Если же после свободных элементов находятся какие-либо данные, существует очень большая вероятность того, что они записаны туда вирусом или системой защиты программ от несанкционированного копирования (если исследуемый каталог содержит такие программы).
Если каталог поврежден полностью или частично, ссылки на описанные в нем файлы будут потеряны. Если вы найдете тем или иным способом секторы, содержащие нужный вам файл, для которого разрушен дескриптор, пользуясь описанной ниже методикой вы сможете восстановить дескриптор и получить доступ к файлу.
