15 мая 2023 года "Исходники.РУ" отмечают своё 23-летие!
Поздравляем всех причастных и неравнодушных с этим событием!
И огромное спасибо всем, кто был и остаётся с нами все эти годы!

Главная Форум Журнал Wiki DRKB Discuz!ML Помощь проекту


Защити свои файлы. Если сможешь, конечно...

Берд Киви
kiwibyrd@mail.ru

 

Для многих систем, подвергающихся атакам, нападающих можно разделить на два типа - средний пользователь и опытный взломщик. Против среднего пользователя срабатывает практически все что угодно, и в стойких программах защиты вообще нет необходимости. Против опытного взломщика не срабатывает ничего. (народная теорема)

Вынесенная в эпиграф народная мудрость, что называется, выстрадана людьми за многие годы борьбы. Конечно, одну ее половину - про первый тип - следует воспринимать с долей юмора, поскольку огромное количество "средних пользователей" страсть как хотят набраться крутизны, прилежно осваивая тот богатейший инструментарий взлома, что предоставляет всем желающим Интернет. Но вот вторая половина сетевого фольклора - о профессионалах - бьет как говорится в самую точку. Всякому здравомыслящему человеку имеет смысл четко себе представлять, что если вдруг он становится объектом пристального интереса профессиональных компьютерных взломщиков, решивших похитить его файлы, то единственный способ эффективного противодействия - вообще не держать и не обрабатывать на компьютере такую информацию, которую хотелось бы оставить при себе.

Нижеследующий текст и будет посвящен если не строгому доказательству, то во всяком случае наглядному иллюстрированию данного утверждения. (Естественно, речь будет идти не о "компьютерной безопасности вообще", когда столь мудрым советом воспользоваться в принципе невозможно, а о типичных бытовых и производственных ситуациях, характерных для нашей повседневной жизни.)

Парольная защита

Итак, посторонний человек включает ваш компьютер и сразу натыкается на надпись типа "Введите пароль доступа", выдаваемую системой BIOS перед загрузкой системы. Если этот посторонний теряется, краснеет, обиженно шепчет "подумаешь, больно надо..." и выключает компьютер - что ж, поставленная перед паролем цель достигнута. Но если некий субъект подходит к компьютеру не из праздного любопытства, а со вполне определенными намерениями, то пароль, хранящийся в CMOS-памяти системы BIOS, на самом деле не дает никакой защиты данных, а лишь отпугивает "чайников".

Когда главная задача атакующего - быстро получить доступ к информации, хранящейся на диске, то он просто влезет внутрь системного блока и отсоединит на мгновение батарейку, подпитывающую CMOS-память. И все - никаких BIOS-паролей больше нет. Если же снять информацию надо незаметно, то просто свинчивают диск и временно подсоединяют его к другому компьютеру для переноса данных. По народным приметам, хакер с отверткой - это вообще напасть самая жуткая, поскольку такой тип "исследователей" считает (и небезосновательно), что если у устройства есть вход и есть выход, то можно узнать и что там внутри...

Ну, а если хозяин навесил на корпус своего компьютера хороший замок или же взломщика тошнит от вида отверток и пассатижей (бывает и такое), то разыгрывается совсем иной сценарий. В Интернете есть веб-сайт французского умельца Кристофа Гренье, имеющего своеобразное хобби - выуживать из компьютера BIOS-пароли. Он написал и постоянно поддерживает специальную программу CmosPwd, которая мгновенно извлекает пароль из CMOS-памяти компьютера практически любой мало-мальски распространенной системы. (Несколько лет назад все было еще проще: в старых версиях наиболее распространенных BIOS-систем компаний Award и Phoenix вообще имелись универсальные "всепроходные" пароли: AWARD_SW и "phoenix", соответственно.) Утилита Гренье предоставляетт пользователю на выбор сразу несколько возможностей: извлечь пароль и сохранить в виде файла, "убить" пароль, восстановить пароль из сохраненного файла. Ну, а что касается защиты ПК, то сам Кристоф Гренье дает такие советы: не используйте DOS или Windows 95/98, используйте Linux или Windows NT (где значительно серьезнее продуманы аспекты безопасности); в BIOS не используйте опцию автоматического определения жесткого диска (взломщик может навесить в систему собственный диск), загружайте систему только с диска C (отключив загрузку с флоппи- и прочих дисков); наконец, запирайте системный блок.

Короче говоря, для любого владельца компьютера будет мудрым предполагать, что если кто-то очень хочет добраться до содержимого диска, то ему это рано или поздно удастся. Поэтому непременно встает вопрос о более серьезной защите если не всех данных, то конкретных важных файлов. То ли по беспечной доверчивости, то ли по невежеству, то ли по лени природной, но многие люди предпочитают пользоваться средствами защиты, встроенными непосредственно в программы подготовки документов, будь то Word, Excel, Access или еще какой органайзер-архиватор. Всем таким пользователям было бы крайне полезно сходить на отечественный веб-сайт Павла Семьянова с нерусским названием "Russian Password Crackers", где собрана весьма впечатляющая библиотека программ-крэкеров для вскрытия парольной защиты самых разнообразных приложений и систем. Глядя в сводную таблицу параметров крэкеров, даже неспециалист быстро поймет, что встроенные средства - это, гм, не очень серьезно. Подавляющее большинство систем парольной защиты обеспечивает намного меньший уровень безопасности, нежели можно было бы предполагать. Причин тому множество, и этой теме надо посвящать отдельное исследование. Здесь же дадим лишь пару примеров.

Принято считать, что система паролей доступа ОС Windows NT обеспечивает безопасность компьютерных систем на вполне адекватном уровне. Однако, не так давно фирмой "хакеров в законе" L0pht Heavy Industries на этот счет было проведена аудит-проверка одной крупной высокотехнологичной компании США. Результат оказался следующим. С помощью своей знаменитой программы L0phtCrack 2.5 хакеры вскрыли около 90% всех паролей доступа, затратив менее 48 часов работы компьютера Pentium II/300. При этом 18% паролей были вскрыты менее чем за 10 минут.

Также принято считать, что известная программа-архиватор PKZIP дает возможность очень серьезно защитить сжатые файлы, если воспользоваться встроенной в нее опцией парольной криптозащиты. Но, как сообщил совсем недавно сотрудник известной фирмы AccessData Corp., специализирующейся на восстановлении данных, у них разработана программа, которая на машине Pentium II/500 любой защищенный zip-файл вскрывает не более двух часов (алгоритм вскрытия фирма предпочитает держать в секрете). Ну, а что касается восстановления файлов, "засекреченных" большинством других популярных приложений, то, как поведал однажды шеф и основатель AccessData Эрик Томпсон, они специально встраивают в свои крэкеры холостые циклы работы, чтобы программа вскрытия работала по крайней мере минут пять... так, для солидности. Иначе клиент вообще не понимает, за что он заплатил свои деньги. (Всем же интересующимся очень рекомендуется побродить по веб-сайту http://www.accessdata.com/, где можно найти массу полезных советов по защите данных и скачать несколько работающих демоверсий программ.)

Шифрование диска

Итак, как же все-таки защищать данные на компьютере? Видимо, уже ясно, что ответ - в сильной криптографии. Существует огромнейшее разнообразие программных пакетов для криптозащиты файлов, как для Windows, так и для Linux. При этом, что немаловажно, одни из самых лучших программ идут с открытым исходным кодом и распространяются бесплатно для некоммерческого использования. В качественных пакетах такого рода для защиты информации используются известные стойкие криптоалгоритмы, такие как 3DES, IDEA или Blowfish. Обычно все подлежащие защите данные хранятся в зашифрованном "контейнере" (по сути дела, большого размера файле), который присоединяется как самостоятельная файловая система, и ОС получает легкий и быстрый доступ к файлам "контейнера".

Конечно, можно и просто использовать хорошую криптопрограмму - ту же PGP - для шифрования всех файлов по отдельности, но тогда приходится все время возиться с зашифрованием-расшифрованием и очень велики шансы оставить какую-то часть данных незакрытыми. Поэтому разумнее воспользоваться специальной программой.

В большинстве пакетов криптозащиты диска программа расшифровывает файлы из контейнера на лету непосредственно в память, а когда вы записываете их обратно, зашифровывает при укладке на диск. Иными словами, если неожиданно пропадает питание или происходит что-то еще в этом роде, то файлы останутся защищенными (не исключено, что поврежденными, но защищенными). Есть здесь, конечно, и нюансы, потенциально способствующие утечке данных. И в Windows, и в Linux используются swap-файлы (разделы) для временного хранения данных, которые вообще-то должны находиться в оперативной памяти, но выгружаются оттуда для ускорения работы системы. Облегчая работу компьютеру, технология своппинга всегда несет опасность записи на жесткий диск в открытом виде таких данных, которые их владелец предпочел бы видеть всегда зашифрованными. Кроме того, многие программы типа Microsoft Word создают "временные (tmp) файлы", чтобы в случае выключения или зависания системы не терялась вся проделанная работа. Эти файлы тоже периодически сбрасываются на жесткий диск, порождая незашифрованные копии конфиденциальных документов.

Таким образом, злоумышленник, имеющий подход к компьютеру жертвы, даже просто порывшись в swap- и tmp-файлах получает массу информации об обрабатываемых документах. Поэтому, выбирая программу криптозащиты диска, целесообразно поинтересоваться, имеются ли в ней дополнительные функции по зачистке вспомогательных файлов ОС.

Новая операционная система Windows 2000 включает в себя систему EFS (Encrypted FileSystem - "Зашифрованная файловая система"), которая позволяет криптографически защищать файлы и папки на диске. Но, как и любой другой произведенный в недрах Microsoft продукт "безопасности", EFS вызывает серьезные нарекания со стороны экспертов по защите информации. В частности, практически сразу было продемонстрировано, что довольно легко получить доступ к закрытой информации, если поставить на машину вторую копию Windows 2000, загрузиться в качестве администратора и воспользоваться зашитой в систему опцией восстановления файлов... С помощью ряда громоздких процедур от этого трюка можно защититься, но в целом эксперты не рекомендуют полагаться на защиту EFS.

Ну, а что же специалисты по компьютерной безопасности советуют применять для защиты файлов на диске? Чаще всего упоминаются следующие три программы: PGPdisk, BestCrypt и Scramdisk. Все они выполняют одну и ту же задачу: зашифровывая контейнер и позволяя системе Windows монтировать его как самостоятельную файловую систему. Лично автору очень нравится Scramdisk - за компактность, простоту, большой выбор криптоалгоритмов и дополнительные утилиты зачистки (они есть и в других программах).

Утилита надежной зачистки диска (secure wipe) весьма важна, поскольку обычным путем удаляемые с диска данные на самом деле как правило не удаляются, а просто помечаются как свободное пространство. Даже когда поверх "стертых" файлов записываются новые файлы, масса информации остается, и в специализированных фирмах могут извлекать с диска такие данные, которые хозяин считает давным-давно уничтоженными. Wipe-утилита несколько раз тщательно записывает поверх файлов заданную последовательность бит, так что восстановить данные становится невозможным. При работе с конфиденциальными документами очень важно применять Wipe к временным файлам Windows. По отзывам специалистов, весьма хорошо справляется с задачей зачистки, к примеру, программа Eraser. Для ОС Linux рекомендуют использовать, например, такую wipe-утилиту: http://users.erols.com/thomassr/zero/download/wipe/.

Таким образом, аккуратно следуя советам экспертов и используя хорошую программу шифрования диска, можно очень существенно затруднить для посторонних доступ к своим данным. Хорошую криптографию вскрыть невозможно, так что если кому-то все же удается добраться до информации, то делается это непосредственно с помощью паролей доступа и ключей самого владельца. Способы их получения могут быть самыми разнообразными - подсмотреть, выбить силой или угрозами, ну и, наконец, внедрить в компьютер перехватчик нажатия клавиш.

От "грязи" никуда не деться

О программе DIRT впервые заговорили летом 1998 года, когда нью-йоркская компания-разработчик Codex Data Systems впервые представила ее на одной из специализированных технических выставок. Помимо прямого смысла "грязь", название программы несет в себе аббревиатуру от Data Interception by Remote Transmission - "перехват данных путем дистанционной передачи". За этими словами скрывается весьма компактный, около 18 Кбайт, "троянский конь", который внедряется в компьютер "объекта" и делает, главным образом, две вещи: (1) скрытно записывает все нажатия на кнопки клавиатуры и незаметно высылает запись небольшими партиями в те периоды времени, когда компьютер подключен к Интернету; (2) действует в качестве FTP-сервера, обеспечивающего удаленному "хозяину коня" возможность как скачивать, так и загружать файлы в компьютер жертвы.

Другими словами, если в машину попала такая "грязь", то уже никакие криптопрограммы, пароли и секретные ключи здесь не помогут. Все ключи вводятся (в подавляющем большинстве случаев) с клавиатуры, следовательно, гарантированно становятся известны и следящей стороне.

Собственно говоря, примерно то же самое теперь делает и хорошо известная (и общедоступная) программа Back Orifice 2000, но есть между ними и довольно существенные различия. Прежде всего, DIRT разработана специально для нужд спецслужб, правоохранительных органов и военных. Поэтому способов внедрения DIRT-троянца разработано великое множество, что называется на все случаи жизни: как саморазворачивающийся исполняемый файл, как случайный фиктивный сегмент данных, как скрытый zip-файл, как стеганографическое присоединение, как макро-код, через "фирменный" протокол или через известные слабости конкретной почтовой программы и т.д. и т.п.. Согласно последним данным, теперь для внедрения DIRT даже не требуется отправлять жертве электронную почту, достаточно лишь знать интернет-провайдера или email-адрес "объекта". Ну, а если есть непосредственный подход к компьютеру, то и говорить не о чем.

Еще одно существенное отличие от Back Orifice в том, что DIRT не выявляют антивирусные программы. Им такая "инфекция" неизвестна, поэтому нет и лекарства. По свидетельству одного квалифицированного хакера, посидевшего за " DIRT-инфицированным" компьютером минут 10 на выставочной презентации, программа очень грамотно маскируется и даже для опытного глаза не видно следов ее присутствия в компьютере.

Известно также и то, что в марте 1999 года хакерская группа IHO взломала защиту веб-сайта компании Codex и взяла оттуда работающую демоверсию DIRT, предназначенную для авторизованных клиентов компании из государственных ведомств определенного профиля. Очень быстро программа была дезассемблирована и клоны ее гуляют в хакерском андеграунде. Кроме того, компания Codex активно продвигает свой продукт за рубежом на международных выставках типа Milipol, так что в каких количествах и вариациях распространена ныне программа DIRT, можно лишь догадываться (один из ее вариантов, к примеру, постоянно торчит в компьютере автора этих строк, имеющего странное обыкновение беспечно бродить по таким веб-сайтам, где того и гляди что-нибудь всадят :-).

Ну, а подводя итог, можно лишь напомнить читателю, к чему все это рассказывалось. Если дорожишь данными и полагаешь, что их желательно сохранить, то не доверяй важнейших секретов компьютеру. Сопрут...

Приложение: Как это выглядит

Итак, чтобы не ходить за примерами далеко, пристально всмотримся в мой собственный компьютер и опишем характерные признаки заражения машины троянцем типа DIRT (как зовут конкретно мою пакость, отечественной науке неизвестно).

Описывать этот "феномен" придется по преимуществу в "цеховых" компьютерных терминах, поэтому для кого-то чтение может показаться тоскливо-занудным, но для специалистов и просто интересующихся окажется весьма занятным.

Появилась эта штуковина у меня довольно давно, но косвенно проявлять себя (и раздражать) начала примерно с полгода назад, когда стали существенно притормаживать практически все запускаемые приложения. Поскольку для Windows это вещь обычная, я стер ОС и поставил заново.

Эффекта это не дало практически никакого. Насторожившись, я в очередной раз стал ставить Linux (постоянно пользоваться этой ОС не получается по целому ряду причин). И тут известная DOS-утилита FIPS для недеструктивной переразметки жесткого диска неожиданно сообщает, что между логическими партициями C и D у меня имеется свободное пространство. Это пространство невидимо для операционной системы, поскольку упрятано в промежуток между началом extended partition и собственно началом логического диска.

Исследование этого "кармана" (размером около 8 мегабайт) с помощью низкоуровневого редактора показало, что он имеет собственную файловую систему и явно служит в качестве замаскированного "контейнера" для сбора информации. Главным внешним признаком "закладки" стала необычная реакция системной "Корзины для мусора", которая при всяком запуске утилит Wipe Free Space, зачищающих свободное пространство, постоянно выдает сообщение "Нет свободного места" при наличии на диске свободных объемов любых размеров. При этом аккуратно удалить этот скрытый "контейнер", не грохая всю разметку, оказалось весьма непросто, поскольку утилита FDISK в данной ситуации была абсолютно растеряна, а собственных познаний исследователя явно не хватало.

Тем не менее, в общих чертах было уже вполне понятно, в чем здесь дело. Не имея ни малейшего понятия, как достойно прекратить это безобразие, я на английском (в моем представлении) языке написал примерно следующее послание: "Ребята, я знаю, что вы за мной следите, и в общем-то не имею ничего против. Вы делаете свое дело, я - свое, не занимаясь абсолютно ничем противозаконным. Скрывать мне нечего, вам - есть что. Однако, ваш троянец тормозит все мои приложения, поэтому я намерен его грохнуть"... Ну, и кое-что еще в том же духе.

Поскольку у меня были основания полагать, что это не "хулиганы-хакеры", а скорее какая-нибудь служба безопасности (просто государства или фирмы-государства), то это странное письмо я отправил что называется "на деревню дедушке" - с одного с своего email-адреса на другой... Самое смешное, что после этого на моем компьютере пропали драйверы мышки и клавиатуры, лишив меня всех устройств ввода. Но данное обстоятельство уже не имело значения, поскольку я твердо вознамерился грохнуть невидимого троянца. И дабы действовать наверняка, я просто отсоединил пораженный диск до лучших времен (там была масса полезных данных), обнулил CMOS-память BIOS и поставил новый чистый диск.

И вот тут-то началось самое интересное. Предполагаемо "чистый" и ранее вполне адекватный компьютер, пощупав мой новый диск размером 8.4 Гбайт, невозмутимо сообщил посредством небезызвестной команды FDISK, что по его мнению на диске имеется лишь 504 мегабайта, которые мы и можем сейчас же разметить. Я слегка удивился и вместо этого обратился к Linux'у, который вполне благородно вернул мне мои 8.4 гигабайта, однако при инсталляции неожиданно квакнул и встал. Это меня уже почему-то не удивило. Повторив маневр несколько раз, я полностью убедился, что компьютер поражен инфекцией значительно глубже, вплоть до флэш-памяти. Поскольку самостоятельное перепрограммирование зараженной флэш-памяти (для среднего пользователя вроде меня) чревато потерей материнской платы, я решил не искушать судьбу.

НО, как говорится, прошу отметить в протоколе. В данном компьютере флэш-память ВСЕГДА была защищена джампером от записи. Другими словами, совершенно очевидно, что в бытовом компьютере имеется возможность программно обходить аппаратную защиту.

После форматирования диска и инсталляции ОС Windows я первым делом запустил утилиту Wipe Freespace и с чувством робкой надежды убедился, что программа отработала вполне успешно... Увы, после первого же захода в Интернет и последующего прогона "тестовой" утилиты знакомая до боли картинка "Диск переполнен - требуется очистка" появилась на экране снова. И это при том, что диск был свободен на 90%.

Короче говоря, плюнул я на всю эту ерунду и стал работать дальше.

Так получилось, что за последние месяцы мне несколько раз приходилось писать о небезызвестных компаниях SAIC и Network Solutions, самым тесным образом связанных с американскими спецслужбами. Сам я ничего не выдумывал, писал, что называется, чистую и подтверждаемую фактами правду, почерпнутую из абсолютно общедоступной печати.

Но в результате мой компьютер стал регулярно отключаться при заходе на веб-сайты этих компаний, затем - при заходе на какую-нибудь поисковую машину, затем очень часто - при каждой первой за день попытке прочесть поступившую мне электронную почту. Плюс к этому ни на одном из известных мне сайтов стал недоступен сервис WHOIS, позволяющий по IP-адресу или web-имени получить информацию о его владельце. Плюс пропал один из моих собственных веб-сайтов, где я складывал "газетные вырезки" о практикуемых спецслужбами методах дезинформации и промывки мозгов обывателям... Короче говоря, пошли уже чисто фашистские штучки. Поскольку я не террорист, не наркодилер, и даже, прости господи, не педофил какой-нибудь, и при всем этом постоянно не только нахожусь под пристальным наблюдением, но и явно ощущаю чье-то упорное желание поставить меня "на место", то явно пришло время всю эту историю обнародовать.

Итак, что же представляет ныне тайная жизнь моего компьютера.

Жесткий диск. Работающая под Windows известная утилита Norton Disk Doctor сообщает, что с моим диском все зашибательски хорошо (позор Symantec), а физические параметры устройства таковы: 16708 цилиндров, 16 головок, 63 сектора на дорожку (итого около 8.6 миллиардов байт). Стоп. Вообще-то у моего диска 8.4 миллиардов байт, а геометрия по паспорту несколько иная: 16368 цилиндров, 16 головок, 63 сектора. Более того, хваленые нортон-утилиты даже не смутил тот факт, что логические диски занимают такую конфигурацию: диск C - с 0 по 991 цилиндр, диск D - с 992 по 323 (!! т.е. номер последнего цилиндра у D меньше номера первого...).

Тогда давайте опустимся несколько поглубже и отыщем в Norton-каталоге тестовую DOS-утилиту Diskedit (слава Symantec, она еще осталась). О существовании этой утилиты многие нынешние Windows-пользователи даже не подозревают, поскольку она никак не обозначена в оболочке Нортон-интегратор.

Diskedit при виде моего диска выпал в полную прострацию, поскольку, по его убеждению, такая конфигурация в принципе работать не может. По его прикидкам, в моем диске от силы 30.9 мегабайт, логического диска D нет и в помине, в FAT, таблице размещения файлов, - полное несоответствие секторов, и вообще:
Блок параметров BIOS - Invalid;
FAT-1 - Invalid;
FAT-2 - Invalid;
Секторов на FAT - 0.
Если же заглянуть в физическое содержимое FAT - то и там одни нули. Ну, и далее в том же духе... А ведь с точки зрения Windows, напомним, у меня с диском полнейший порядок.

Следовательно, в оперативной памяти компьютера должна сидеть какая-то программа, управляющая всем этим цирком.

Память. Раньше, когда в быту имела хождение старая версия известной программы-стража ZoneAlarm (ver. 1.7), я засекал у себя в памяти некоего монстра размером 19.94 Мбайт, лишенного всяких опознавательных признаков о версии и дате изготовления, причем все время загружающегося под разными именами типа 80000a3, 80000f6 и так далее. Новая инкарнация программы ZoneAlarm эту штуковину уже "не видит", хотя раздобыв прежнюю версию, я на днях удостоверился, что "жилец" никуда не делся. Правда, другие известные мне утилиты его не замечают.

А что же видят они? Например, утилита MemTurbo для оптимизации памяти сразу же после включения компьютера бодро мне сообщает, что индекс загрузки оперативной памяти (32 Мб) составляет 100%. Конечно, 32 мегабайта - это немного, но не до такой же степени, чтобы машина, не загрузив еще ни одного приложения, полностью выбрала свой ресурс...

А что видит в памяти утилита Norton System Information? Например, что файл системной библиотеки KERNEL32.dll сидит в памяти аж в трех экземплярах. Причем если два файла практически идентичны и выглядят вполне "легитимно", поддерживая здоровую избыточность, то о третьем экземпляре этого не скажешь. Мало того, что он имеет НЕИЗВЕСТНЫЙ порождающий процесс, так еще и задействует свыше 1000 блоков памяти (у "обычных" KERNEL32.dll эта цифра равна 3). Короче говоря, в оперативной памяти сидит замаскированная под стандартную системную библиотеку программа, которая и создает для пользователя видимость "нормальной работы".

По сути дела, у меня на столе работает совершенно другое устройство, имитирующее функции обычного ПК. На самом же деле - это обширная база данных, регистрирующая все манипуляции пользователей и транслирующая (насколько позволяет узкий телефонный канал) все эти данные "настоящему владельцу системы" при ее подключении в Сеть.

Как же выявить эту штуковину по-быстрому? (По крайней мере, ту ее разновидность, что осчастливила своим присутствием меня.) Самое простое средство - щелкнуть правой кнопкой мышки на ярлыке "Корзина" и выбрать опцию "Свойства". Если у вас, к примеру, логический диск D имеет размер 6 гигабайт (как у меня), а "Корзина" сообщит, что видит не более двух, - увы, значит, зацепило и вас. Если же корзина не сообщит ничего необычного, то это не значит ничего :].

Еще очень полезно запустить хорошую утилиту зачистки свободного пространства на диске. Наиболее качественно, по моим наблюдениям, отрабатывает финская утилита Eraser. Лишь она одна честно мне сообщила, что не сумела вычистить "хвосты" у множества файлов из системных каталогов, предоставив их список. Достаточно хорошо известно, что троянцы прячут данные в пространства между концами файлов и концами физических секторов, содержащих эти файлы. "Мой" троянец успешно отбивает попытки зачистки со стороны всех опробованных утилит.

***

Публикуя все эти данные, я надеюсь привлечь к проблеме внимание специалистов и хотя бы слегка прищемить хвост людям, в упоении своим технологическим "могуществом" явно потерявшим чувство здравого смысла.

Несколько слов по следам публикации

> Скажите честно, это у Вас юмор такой или повышаете "тираж"/популярность 'Компьютерры' ??
> ;))
>
> По поводу 2Гб в Recycle Bin Properties и Win98 смотрите здесь (если, конечно, Вы
> все всерьез написали):
> http://support.microsoft.com/support/kb/articles/Q187/1/88.ASP?LN=EN-US&SD=gn&FR=0
> Андрей Н.

От автора: Автор прекрасно осознает, что не является "специалистом широкого профиля", почему и именует себя "средним пользователем". Если для всех прочих "странностей" в машине найдутся столь же тривиальные объяснения, он будет просто счастлив.