DIJAGNOSTIKA KVAROVA HARDVERA
Bez obzira koliko je računar dobro sastavljen ili njegov softver dobro napisan, pre ili kasnije nešto će poći po zlu. I većina početnika u PC svetu se vrlo neprijatno iznenadi kada se susretne sa serijom poruka o grešci tipa "Illegal Operation" ili u gorem slučaju, sa porukom "Fatal Exception errors" (popularno nazvanom i "Plavi ekran smrti"). Ovakvih poruka ne bi trebalo da bude na novom računaru, međutim delimično zbog nesavršenosti operativnog sistema, nestabilnog rada nekih aplikativih softvera , neredovnog update ili zbog napada virusa raznih vrsta, dolazi do pojave kvarova i problema u radu. Prvo treba odrediti šta je prouzrokovalo kvar, a to je i najveći problem za većinu korisnika, tj. kako na najbolji način dijagnosticirati prirodu problema. Na samom početku potrebno je tačno odrediti da li je u pitanju problem izazvan hardverom ili softverom. Zatim tačno odrediti i "krivca". U dijagnozi se treba voditi sledećim početnim koracima: - Da li je problem nastao odjednom, odnosno da li postoji određeni period vremena od nabavke kada nije bilo nikakvih problema? Ukoliko je nastao odjednom (nakon određenog vremena), kakve promene su napravljene na računaru? - Da li je instaliran ili reinstaliran neki deo hardvera ili softvera, koji bi mogao da izazove problem? - Da li je bilo poremećaja u električnoj mreži? Sistem je podložan uticaju eventualnih električnih udara iz mreže, koji mogu da izazovu oštećenje jedne ili više komponenti. Električni "šok" može da dođe i sa "sporednog ulaza", odnosno kroz telefonsku liniju i preko modema, u slučaju vremenske oluje i udara groma u telekomunikacione linije. - Da li je možda nešto menjano na električnoj instalaciji i da li se na istom električnom vodu nalazi neki veliki električni potrošač? Nestabilnost napona nastaje pri puštanju u rad velikih električnih potrošača, što kod računara koji se nalazi na istom vodu može redukovati unutrašnji napon i na taj način oštetiti podatke. - Da li je otvarano kućište računara, i da li je pri tom dodirivana unutrašnjost, bez prethodnog oslobađanja statičkog elektriciteta (preko uzemljenja)? Najbolji način da se reši neki problem jeste da se spreći da uopšte dođe do problema. Deo ovog rada o održavanju hardvera opisuje postupke koje bi trebali redovno primenjivati kako bi računar bio u dobrom stanju. Dijagnostički softver može biti od vitalne važnosti svaki put kad računar ne funkcioniše pravilno, kada se nadograđuje deo sistema, a posebno kad sastavljamo potpuno nov sistem. Ovde je dat pregled tipova raspoloživih dijagnostičkih programa, te posebno onih (utilities) koji dolaze sa uobićajenim operativnim sistemom i hardverom. Dijagnostički programi pojavljuju se u više oblika, zavisno od komponente koja se testira i koji otkrivaju softverske i hardverske teškoće i pokušavaju da reše sistemske probleme, da poboljšaju performanse i da preventivno održavaju sistem. Dijagnostici i testiranju podležu sve komponente računarskog sistema. Programi za dijagnostiku Kada dođe do kvarova na računaru, veliki značaj može imati softver za ispitivanje
ispravnosti koji se isporučuje uz računar ili se nabavlja od proizvođača. Taj softver može biti važan i kada se započne nadgradnja neke komponente u sistemu, odnosno dodavanje novog uređaja. Postoji tri nivoa softvera za ispitivanje ispravnosti: POST, sistemski i napredni. POST – Power On Self Test postupak se obavlja uvek kada se uključi računar. To je u stvari niz testova koji proveravaju primarne komponente sistema, na primer CPU, ROM, kola za podršku matične ploče, memoriju i važne dopunske uređaje kao što su priključci za proširenje. Ti testovi su kratki i projektovani su da uoče teže hardverske (a ne povremene) greške. POST postupak obezbeđuje poruku o grešci, ili upozorenje uvek kada naiđe na neispravnu komponentu. Ovo ispitivanje koju sprovodi sistemski POST nije baš potpuno, ali ono predstavlja prvu liniju odbrane, posebno kada se uoče ozbiljni problemi na matičnoj ploči. Ukoliko POST uoči problem koji je dovoljno ozbiljan da ometa rad sistema, on zaustavlja postupak za podizanje sistema i saopštava poruku o grešci koja obično označava uzrok tog problema. Ispitivanja u POST-u obično imaju tri vrste izlaznih poruka: zvučne kodove, poruke na ekranu i heksadecimalni numerički kôd koji se šalje na adresu određenog U/I priključka. Sistemski programi se nalaze u sastavu operativnog sistema koji se koristi na računaru. To su uglavnom osnovni programi za održavanje hardvera i softvera. U Microsoft Windows XP OS to su aplikacije u skupu pod nazivom Computer Management. On sadrži tri glavne grupe programa: System Tools, Storage i Services and Applications. Svaka od ovih grupa programa ima više svojih skupova programa. Za System Tools to su: Event Viewer, Shared Folders, Local Users and Groups, Performance Logs and Alerts, DeviceManager. Za Storage to su: Removable Storage, Disk Defragmenter i Disk Management. U grupi Services and Applications skupovi su: Services, WMI Control i Indexing Service Napredni prograni. Razni proizvođači računarskog softvera nude različite programe za naprednije korisnike koji su tehnički obrazovaniji i imaju određena teorijska ali i praktična znanja. Ti programi nude nešto šire mogućnosti hardversko-softverskog administriranja, koje prevazilazi osnovne potrebe prosečnih korisnika. Program PCMark firme Futuremark Corporation, obavlja testiranje sistema, procesora, memorije, grafike, hard-diska i operativnog sistema i njihovu uzajamnu operativnost. Ovaj program je jedan od referentnih u ovoj oblasti. Program ima tri glavna modula: Testovi, Sistem i Rezultati. U prvom modulu rade se testiranja sistema, procesora, memorije, grafike, hard-diskova i izabrana i podešena testiranja. Modul Sistem daje informacije o celom sistemu, a u modulu Rezultati mogu se podesiti izlazi za dobijene rezultate testiranja. Benčmark program Sisoft Sandra poznate softverske firme SiSoftware omogućava kompletno testiranje računara i softvera na njemu. Sadrži šest grupa modula (programa). Wizard modul sa sedam podmodula: Add New Modul, Web Update Wizard, Environment Monitor Wizard, Performance Tune-up Wizard, Combined Performance Index Wizard, Create a Report Wizard i Burn-in Wizard. Informacioni modul sa trideset jednim podmodulom koji pružaju informacije o bukvalno svakom uređaju u računaru. Benčmark modul sa deset podmodula koji testiraju procesorske aritmetičke i multimedijalne mogućnosti, RAM i keš memoriju, memorijsku propusnu moć, fajl sistem, hard-diskove i fleš-memorije, optičke uređaje, mrežnu i internet konekciju. Test modul sa
pet podmodula za testiranje hardverskih IRQ, DMA i I/O podešavanja, memorijskih resursa i plag&play enumeratora. Listing modul sa dvanaest podmodula za razne sistemske informacije i specijalni modul sa dva podmodula – General i Coments. Program Everest firme Lavalys, koji ima slične mogućnosti kao i prethodna dva. Everest ima devet modula. Računar ima pet podmodula: Summary, DMI, Overclock, Power Management i Sensor. Svi oni prikazuju informacije o uređajima i stanju sistema iz svog domena. Motherboard ima sedam podmodula: CPU, Cpuid, Motherboard, Memory, SPD, Chipset i BIOS, koji daju adekvatne informacije o stanju uređaja. Display ima sedam podmodula koji daju informacije o video adapteru, o PCI i AGP priključcima, o grafičkom procesoru, o monitoru i multi-monitoru, desktop svojstvima, efektima i problemima i o grafičkom aplikacionom interfejsu (DirektX ili OpenGL). Multimedia ima dva podmodula (Windows i PCI/PnP Audio), koji osim informacija o uređajima pružaju i mogućnost aktivnog upravljanja njihovim drajverima. Storage ima sedam informativnih podmodula (Windows Storage, Logical, Physical i Optical Drives, ASPI, ATA i SMART), koji pružaju samo informacije o uređajima, bez mogućnosti aktivnog delovanja na njih. Network ima dva informativna podmodula – Windows i PCI/PnP Network. DirektX modul ima četiri aktivna podmodula – DirectX Video, Sound, Music i Input. Ovde su pored informacija omogućene i aktivne kontrole video, audio, muzičkih i ulaznih drajvera za odgovarajući aplikacioni interfejs. Devices modul ima šest podmodula – Windows, Physical i PCI Devices, Device Resources (Resursi uređaja), Input (Ulazni uređaji) i Printers. Ovi podmoduli pružaju informacije o uređajima u PC-ju. Benčmark modul omogućava testiranje rada procesora i memorijskog (memorijskih) modula i to brzinu čitanja podataka iz memorije, brzinu pisanja podataka u memoriju i vreme kašnjenja (latencije), a sve to uz uporedni prikaz sa referentnim vrednostima iz svoje baze. BenchMarX je mali ali izuzetno kvalitetan i koristan program za dijagnostiku, testiranje i administriranje sistemom. Ima tri osnovna modula: System Info, Benchmarks i Tools. AMIDiag ima veći broj karakteristika i poboljšanja koja se ne mogu naći u jednostavnijim ROM verzijama. AMIDiag je potpun program za ispitivanje ispravnosti opšte namene, projektovan za korišćenje na svakom PC-ju, a ne samo na onima koji koriste AMI ROM BIOS. AMIDiag podržava praktično sav hardver koji se danas može naći na PC-jima, uključujući tu i najnovije procesore, sisteme sa više procesora (do 16), memorijske nizove veličine do 4 GB, Intelov Universal Serial Bus kontroler, SCSI uređaje, PCI, poboljšano upravljanje napajanjem i Plug and Play. AMIDiag obezbeđuje i obiman skup postupaka za ispitivanje multimedija, koji mogu da uoče probleme kod CD-ROM uređaja, zvučnih adaptera i video prikaza, kao i testove za modem i mrežu. Checkit Pro obezbeđuje mogućnosti za testiranje ispravnosti većine komponenti u sistemu i daje detaljne informacije o sistemskom hardveru, kao što su ukupna instalirana memorija, vrsta i veličina diska, trenutno zauzeće memorije (uključujući korišćenje gornje memorije), dostupnost i korišćenje IRQ, brzina modema ili faks modema i još mnogo raznih stavki koje su značajne pri otkrivanju i otklanjanju grešaka kod PC-ja. Micro-Scope firme Micro 2000 predstavlja kompletan program opšte namene za ispitivanje ispravnosti PC sistema. On ima karakteristiku za proveru hardverskog
prekida i adrese U/I priključka, koja je daleko preciznija od odgovarajućih karakteristika u većini drugih programa za ispitivanje ispravnosti. Omogućava precizno određivanje prekida ili U/I adrese priključka koje koristi određeni adapter ili hardverski uređaj u nekom sistemu. Micro-Scope obuhvata alate za popravku diska, kao što je editor sektora koji može da uredi i popravi osnovni sektor i sektor volumena za podizanje sistema na disku. Micro-Scope ima sopstveni operativni sistem, koji zaobilazi DOS, a njegova ispitivanja u slučaju potrebe mogu da zaobiđu ROM BIOS. Na ovaj način se odstranjuje maskiranje koje nastaje kada ti elementi rade između sistemskog hardvera i programa za ispitivanje ispravnosti. Iz istog razloga ovaj program je upotrebljiv i na PC-jima koji rade pod drugim operativnim sistemima, kao što su UNIX ili Novell NetWare. Micro-Scope se može instalirati na disk i koristiti pod običnim DOS-om. Kao i ostali dijagnostički paketi, Micro-Scope se redovno ažurira da bi se prilagodio razvoju novog hardvera. Norton Diagnostics (NDIAGS), Speedisk, Disk Doctor i Calibrate isporučuje se sa Nortonovim uslužnim programima i oni predstavljaju osnovu kolekcije uslužnih programa za čuvanje podataka, otkrivanje i otklanjanje grešaka i ispitivanje i popravku sistemskih podataka. NDIAGS u potpunosti ispituje glavne sistemske komponente, a omogućava i proveru sitnih detalja kao što su LED diode na tastaturi za NumLock, CapsLock i ScrollLock. NDIAGS takođe obezbeđuje ekransku mrežu koja se može koristiti za centriranje slike na monitoru i ispitivanje različitih izobličenja, karakterističnih za neispravne monitore. Postupak dijagnoze i testiranja Pre samog testiranja, potrebno je proveriti ispravnost kulera (na napajanju, procesoru,u kučištu...). Za ispravan rad potrebno je da svi kuleri budu ispravni. Takođe, lim od napajanja bi trebao da bude relativno hladan, znači malo ispod telesne temperature, a kuler na procesoru u granicama 40 - 60 0C (zavisno od vrste procesor). Potrebno je zatvoriti kučište, jer su takvi testovi pouzdaniji, zatim proveriti i napone u BIOS-u, odstupanja moraju biti <10% od podrazumevanih vrednosti. Memorija Neispravna memorija može da ima najrazličitije simptome: može da izazove "Fatal Exception errors" (popularno nazvanom i "Plavi ekran smrti"), može da restartuje računar, može da pravi greške pri kopiranju podataka i sl. Memorija se testira nezavisno od operativnog sistema, znači da na ovaj test neće uticati to da li je operativni sistem pravilno instaliran i da li su dobri drajveri za sve komponente. Memoriju možemo testirati npr. programom GoldMemory sa lokacije GoldMemory Postupak testitranja: Raspakovati program u neki direktorijum, instalirati ga na 3,5” floppy disketu ili na CD obzirom da se noviji računari isporučuju uglavnom bez floppy diska. Restartovati operativni sistem i podesiti u BIOS-u FirstBootDevice da bude Floppy odnosno CD. Učitaće se program koji će testirati memoriju 30-60 minuta, zavisno od veličine memorije. Program će ispisivati procente testirane memorije i da li je memorija ispravna (passed) ili neispravna (failed).
Procesor Simptomi neispravnosti procesora su totalni otkaz rada i česta blokiranja, restartovanje, nemogućnost pokretanja pojedinih programa (naročito igara) ili rad sporije nego što bi trebalo. Za testiranje možemo koristiti program HotCPU , a testiranje traje do 6 sati. Za vreme testa ne može ništa da se radi. Procesor se smatra ispravnim ako od milijardu najkomplikovanijih matematičkih proračuna ne napravi ni jednu grešku. Kod ovog testiranja treba biti oprezan i ne bi trebalo testirati procesore koji nemaju garanciju, jer ako je procesor (polu)neispravan, posle ovog testiranja postaje neupotrebljiv. Grafička kartica Ako je test procesora prošao, može se preći na testiranje grafičke karte. Vrlo je važno da se prvo testira procesor, pa tek onda grafička karta, jer će program 3DMark kojim ćemo testirati grafičku kartu praviti iste greške bez obzira koja od ove dve komponente neispravna, pa je test grafičke karte bez testa procesora besmislen tj. ostajemo u dilemi šta je neispravno. Simptomi koji se javljaju kod neispravne grafičke su restartovanje računara i blokiranje. Program 3DMark treba u opcijama podesiti "Benchmark" na "loop" i pustiti benchmark da radi nekoliko sati. Ako se računar ne blokira i ne restartuje za to vreme, možemo biti potpuno sigurni da je grafička kartica ispravna, a ako se pomenuto desi, onda i dalje samo znamo da NEŠTO ne valja, i da je najveća mogućnost da je to grafička karta. Naime ovaj test ne može reći da li je grafička ispravna ili neispravna, već samo da li je ispravna ili verovatno neispravna. Ako je računar prošao sve navedene testove, a i dalje ne radi dovoljno stabilno, testiranje možemo nastaviti programom Aida32 ili novijim Everest Home Edition. To je program koji testira većinu komponenti sistema i o svemu što radi ispisuje detaljan izveštaj, te upozorava na mesta gde se pojavljuju slabije performanse ili greške. Moguće greške i kvarovi na računaru - Sistem se ne uključuje. Zelena lampica na kučištu ne svetli, ventilator unutar kučišta se ne okreće - Nema slike na monitoru. Zelena lampica na kučištu svetli, ventilator unutar kučišta se okreće - Nema boje na monitoru ili monitor pogrešno reprodukuje boje - Tastatura ne radi ili javlja da je zaključana - Miš ne radi uopšte ili ne radi pravilno - Floppy disk neće da snima ili da čita podatke - Ekran se povremeno isključuje - Računar nelogično reaguje na komande, iznenada počinje da piše po hard disku, pojavljuju se čudne poruke, vratanca CD-a se otvaraju sama od sebe (bilo šta od navedenog)... - Računar prijavljuje Missing operating system na hard disku ili ne može da startuje sa
hard diska Poruke BIOS-a U slučaju da BIOS detektuje nepravilno funkcionisanje sistema prilikom testiranja neposredno po uključivanju računara, čuje se nekoliko bip-ova iz zvučnika računara. Ovde imamo opis značenja bip-ova za AMI BIOS, a slične poruke su i kod AWARD i PHOENIX BIOS-a. 1 bip DRAM refresh error Memory refresh kolo na matičnoj ploči je pokvareno 2 bipa Memory parity error Parity error greška je detektovana u osnovnoj memoriji Postoje kratki bipovi (opasni) i jedan dugačak sa više kratkih bipova (nisu opasni). Za dijagnozu kvara potrebno je samo da ih prebrojimo
Broj bipova i njihovo Značenje 1 bip DRAM refresh error. Memory refresh kolo na matičnoj ploči je pokvareno. 2 bipa Memory parity error. Parity error greška je je detektovana u osnovnoj memoriji (prvih 64KB RAM-a) 3 bipa Base 64 KB of memory error. Uočena je greška u prvih 64 KB RAM-a. 4 bipa System timer error. Timer #1 na maticnoj ploci ne funkcioniše ispravno. 5 bipova Processor error. Centralni procesor na maticnoj ploci je generisao grešku. 6 bipova Keyboard controller gate A20 error. Kontroler tastature (8042) sadrži gate A20 switch koji omogućava računaru da radi u virtuelnom modu. Ova greška znači da BIOS ne može da prebaci CPU u protected mod 7 bipova Virtual mode exception error. Centralni procesor na matičnoj ploči je generisao Interrupt Failure exception interapt. 8 bipova Video memory error. Video adapter ili nije prisutan u konfiguraciji, ili joj je memorija neispravna. Ovo nije fatalna greška. Treba proverite da li grafički adapter dobro leži u slot-u. 9 bipova ROM BIOS checksum error. Kontrolna vrednost ROM-a se ne slaže sa vrednošću snimljenom u BIOS-u. Ovo je dobra indikacija da je BIOS ROM pokvaren. 10 bipova CMOS Shutdown Register. Shutdown register of CMOS memory Read/Write Error has failed. 11 bipova Cache Error. Eksterni keš je pokvaren. Nisu opasni 1 dugačak i 2 kratka bip-a – Video greška. Ova greška je uzrokovana jednim od dva hardverska uzroka: Video BIOS ROM greška, primećen checksum error. Instalirani video adapter ima grešku u horizontalnom retrace-u. 1 dugačak i 3 kratka bip-a – Video greška. Ova greška je uzrokovana jednim od tri moguća hardware-ska uzroka: Video DAC je pokvaren. Proces za detekciju monitora nije uspeo. Video RAM je neispravan.
1 dugačak i 8 kratkih bip-ova – Problem memorije Greške kad računar završi testiranje Ovo je kratka lista čestih poruka koje BIOS može da da na ekranu posle testiranja računara za AMI BIOS. Greška Objašnjenje 8042 Gate – A20 Error Gate A20 na kontroleru tastature (8042) ne radi Address Line Short! Greška u kolu za dekodiranje adresa Cache Memory Bad,Do Not Enable Cache! Neispravna cache memorija CH-2 Timer Error Greška na drugom tajmeru. Neki sistemi imaju dva tajmera. CMOS Battery State Low Baterija pocinje da gubi snagu. Bilo bi pametno da zamenite bateriju. CMOS Checksum Failure Pošto se vrednosti CMOS RAM-a snime, snimi se kontrolna vrednost (checksum) za kontrolu grešaka. Prethodna vrednost checksum-a se razlikuje od sadašnje. CMOS System Options Not Set Vrednosti snimljene u CMOS RAM-u su ili oštecene ili ne postoje. CMOS Display Type Mismatch Tip video adaptera snimljen u CMOS RAM nije isti kao onaj detektovan od strane BIOS-a. CMOS Memory Size Mismatch Fizička količina memorije na matičnoj ploči je različita od količine memorije upisane u CMOS RAM. CMOS Time and Date Not Set Datum i vreme nisu setovani Diskette Boot Failure Boot disketa u floppy drajvu A: je oštećena (virus?) Display Switch Not Proper Video switch na matičnoj ploči mora biti setovan ili na color ili monochrome. DMA Error Greška – DMA controller. DMA #1 Error Greška na prvom DMA kanalu DMA #2 Error Greška na drugom DMA kanalu. FDD Controller Failure Floppy disk kontroler se ne javlja BIOS-u. HDD Controller Failure: Hard disk kontroler se ne javlja BIOS-u. INTR #1 Error Interapt kanal 1nije prošao test. INTR #2 Error Interapt kanal 2 nije prošao test. Keyboard Error Greška u tajmingu tastature. Da li je priključena tastaturu? KB/Interface Error Konektor tastature pogrešno vezan. Parity Error???? Parity error greška u sistemskoj memoriji na nepoznatoj adresi. Memory Parity Error at xxxxx Greška u memoriji na adresi xxxxx. I/O Card Parity Error at xxxxx Kartica za proširenje ima grešku na adresi xxxxx DMA Bus Time-out Uredjaj koristi bus signal duže nego što mu je dodeljeno (oko 8 mikrosekundi).
VIRUSI Ogroman broj pitanja tipa “računar mi lepo radi samo stalno blokira “, “računar mi se restartuje u zahtevnijim programima “ ili “instalacija Windowsa ide lepo samo na kraju izbaci plavi ekran“ zahteva i odgovore, a oni glase: Sprečite probleme pre nego što oni zaustave računar i vodite računa o svom računaru, pa će on voditi računa o vama, odnosno radiće kako i očekujete od njega, neće gubiti podatke, neće padati sistem i biće uvek pouzdan. Bez obzira na stručnost, teorijska znanja, obučenost ili interesovanja, svaki korisnik– vlasnik računara mora posvetiti značajnu pažnju ovoj problematici. Na taj način sprečiće potencijalne probleme do kojih može doći usled neredovnog održavanja i korišćenja programa za zaštitu. Sa instalacijom Windows-a dolaze brojne alatke za održavanje sistema. U ove alatke spadaju Disk Defragmenter, ScanDisk, Disk Cleanup, BackUp, a naći ćete ih ako krenete od dugmeta "Start" i nastavite dalje putanjom "Start > Programs > Accessories > System Tools". Ove alatke možete pokretati pojedinačno i po potrebi, ali možete i potpuno automatizovati njihovo pokretanje i na taj način obezbediti automatsko održavanje sistema.(Sheduled Tasks). Tako recimo možete zadati da se u određeno vreme vrši defragmentacija diskova, brisanje nepotrebnih fajlova (Disk Cleanup) ili npr. kreiranje rezervnih sigurnosnih kopija. Izaberite "Start > Programs > Accessories > System Tools > Sheduled Tasks " i pokrenućete čarobnjak koji će vas voditi kroz podešavanja. Održavanje softvera obuhvata i druge obavezne radnje koje se obavljaju u određenim vremenskim intervalima ili prema ukazanoj potrebi, kao na primer: - Redovno ažuriranje operativnog sistema (Windows Update) - Redovno preuzimanje novih „zakrpa“ (patch) operativnog sistema - Redovno ažuriranje najvažnijih korisničkih aplikacija i programa za zaštitu. Sigurnim računarom upravlja njegov korisnik. Prvi znak da računar nije siguran je da se ne može objasniti šta neka aplikacija rad na računaru, odakle je uopšte došla ili da su računarski resursi (uključujući pristup Internetu) neobjašnjivo vrlo aktivni dok se ništa konkretno ne radi. Računar prilikom priključenja na Internet, bilo stalnom vezom ili telefonskim pristupom, postaje doslovno delom Interneta. Dodjeljuje mu se IP adresa po kojoj je u tom trenutku dostupan sa svih drugih računara na Internetu, kao što su i svi drugi računari dostupni njemu. Među tim računarima se, osim korisnika emaila, web-stranica i drugih servisa koje koristimo, nalazi i mnogo onih koji su zaraženi nekim oblikom virusa ili crva ili su na drugi način pretnja našoj sigurnosti. Svim tim računarima smo izloženi kada smo na Internetu. Često se na računar bez našeg znanja instalira neželjena aplikacija sakrivajući se pod primamljivim nazivom ili koristeći nesavršenosti web-pretraživača. Takva aplikacija će se truditi da nam ne otkrije svoju prisutnost i potajno prikupljati naše e-mail adrese, lozinke, kupovne navike, često posećene stranice i slične podatke. Na sličan će način mnogi virusi, crvi i trojanski konji o kojima će kasnije biti više reči, nastojati što duže prikriti svoju prisutnost kako bi se što više proširili. Posledica ovih aktivnosti je nepouzdan rad računara, mogući pad sistema, usporenje
rada ili npr. zloupotrebe vaše kreditne kartice (ukoliko ste podatke o njoj unosili u računar) i na kraju onemogućavanje pristupa Internetu. Od većine ovakvih pretnji možemo se preventivno braniti sigurnosnim alatima, a neki od tih alata pomoći će i u smanjenju štete nastale kada je naš računar već zaražen. U sledećim poglavljima detaljno ćemo se upoznati sa pojmovima virus, crv, trojanac, putevima zaraze, vrstama antivirusnog softvera kao i naćinom i postupkom čišćenja zaraženog računara. Šta su virusi Najveći broj softverskih proizvoda koji se mogu naći na tržištu koristan je, konstruktivan i delotvoran. Međutim, postoje i programi koji se koriste zlonamerno – to su računarski virusi. Ti programi su napisani tako da u računarske mreže prodiru bez znanja korisnika, često se skrivaju u običnim programima ili porukama elektronske pošte. Virusi svoje funkcije izvršavaju tako što od korisnika ne traže odobrenje, ne upozoravaju ga na potencijalnu opasnost po računarski sistem i ne generišu poruke o greškama kada nastane problem. Računarski virus je deo izvršnog koda koji se izvršava tajno i sposoban je da sam sebe klonira u sklopu drugih programa. Nijedan deo prethodne definicije, tehnički gledano, ne ukazuje na to da je virus obavezno destruktivan. Običnom, legalnom softveru nije potrebno da radi u tajnosti, da se skriva u drugim programima ili da se umnožava bez korisnikovog znanja ili dozvole. Zato je računarski virus, po svojoj prirodi, idealno sredstvo za širenje računarskog haosa. U današnjem umreženom svetu, u kojem sve vrste lokalnih mreža zavise od pristupa Internetu, računarski virusi su prisutniji i opasniji nego ikada. Pojam virus koristimo za opisivanje svih tipova destruktivnog softvera. Iako je to dobar i opšti pojam, istovremeno je i pogrešan – virus je samo jedan od mnogih tipova rušilačkih programa. Tih tipova ima mnogo i većina se smatra opasnim koliko i virusi. Svaki od njih ima različit režim rada. Danas se za opisivanje destruktivnog softvera češće koristi izraz zlonameran softver (engl. malware). Zlonamerno napisani računarski program ili delovi programskog koda nazivaju se raznim imenima. To su crvi (worm), trojanski konji (trojan horse), logičke bombe (logic bomb), zamke (trap-door). Virus se obično sastoji od dva dela. Prvi deo je samokopirajući kod, koji omogućava razmnožavanje virusa, a drugi je deo korisni teret (payload) koji može biti bezopasan (benigan) ili opasan (destruktivan, maligan). Neki se virusi sastoje isključivo od samokopirajućeg koda i nemaju nikakav korisni teret. Iako virus ˝u promet˝ najčešće pušta sam autor, kontrola nad razmnožavanjem oslobođenog virusa nije u rukama autora. Pojava virusa Šezdesetih i sedamdesetih godina, još u vreme velikih mainframe računara, postojao je fenomen zvan zec (rabbit). Zec je najčešće nastajao slučajno ili greškom kada je ˝pomahnitali˝ računarski program počeo sam sebe kopirati po sistemu, izazivajući usporenje ili pad sistema. No nisu svi ˝zečevi˝ nastali slučajno. Prvi pravi predak današnjih virusa – Prevading animal (prožimajuća zver) bio je program sposoban da se
nadodaje na druge računarske programe na UNIVAC 1108 računarskom sistemu, a napadnuti programi su čak bili označeni posebnom signaturom u svrhu samoprepoznavanja. Prvi potvrđen nalaz računarskog virusa daleke 1981. godine bio je Elk Cloner – virus koji je inficirao BOOT sektor disketa za legendarni Apple II računar. Godine 1983. Len Adleman je prvi put u istoriji upotrebio reč ˝virus˝ opisujući samokopirajući kod. Prelomna je i 1986. godina kada se pojavljuje računarski virus Brain (mozak). Ovaj virus je bio sposoban inficirati BOOT sektore 360 KB disketa IBM PC računara i brzo je osvojio svet. Na svu sreću, virus nije bio destruktivan, nego je u sebi samo nosio podatke o autorima. Nakon toga stvari kreću brže. Pojavljuje se računarski virus Jerusalem (1988.) koji je brisao sve pokrenute programe, te prvi pravi destruktivac Virus Datacrime (1989.) koji je bio sposoban izvršiti low-level format nulte staze na hard disku. 1989. aktivirana je fabrika virusa u Bugarskoj. Izvesna osoba (ili grupa osoba) koja je sebe nazivala Dark Avenger (Crni osvetnik) do danas je napisala desetine virusa uključujući neke od najpoznatijih kao što su New Zeland i Michelangelo. Vrste virusa Računarski virusi mogu se podeliti na pet vrsta: boot sektor viruse, parazitske viruse, svestrane (multipartite) viruse, viruse pratioce (companion) i link viruse. Ova podela prvenstveno vodi računa o načinu na koji virus može zaraziti različite delove računarskog sistema. Bez obzira kojoj grupi pripada, svaki virusni kod mora biti izvršen da bi proradio i razmnožavao se. Osnovna razlika između različitih virusa je u načinu na koji to pokušavaju osigurati. Boot sektor virusi Boot sektor virusi napadaju Master BOOT sektor (partitition table), DOS BOOT sektor (oba na hard diskovima) ili BOOT sektor floppy disketa, odnosno program koji se u njima nalazi. BOOT sektor je idealan objekt za infekciju, budući da sadrži prvi program koji se izvršava na računaru, čiji se sadržaj može menjati. Kada jednom računar bude uključen, program u ROM-u (BIOS) će bez pitanja učitati sadržaj Master BOOT sektor u memoriju i izvršiti ga. Ako se u njemu nalazi virus, on će postati aktivan. Ali kako je virus dospeo u Master BOOT sektor? Najčešće pokušajem startovanja sistema sa inficirane floppy diskete. Ali boot sektor virusi se mogu širiti i pomoću posebnih programa, trojanskih konja, nazvanih dropper (bacač) – kojima je glavna namena da neprimetno ˝ubace˝ virus u BOOT sektor. Boot sektor virusi su veoma uspešni u razmnožavanju – od sedam najčešćih računarskih virusa čak šest ih je sposobno zaraziti BOOT sektor. Parazitski virusi Najčešća vrsta virusa su upravo parazitski virusi. Ovi su virusi sposobni zaraziti izvršne datoteke na računarskom sistemu dodavanjem svog sadržaja u samu strukturu programa, menjajući tok inficiranog programa tako da se virusni kod izvrši prvi. Poznati računarski virusi sposobni su zaraziti.COM,.EXE,.SYS, i druge datoteke. Svestrani virusi ˝Dobre˝ osobine boot sektor i parazitskih virusa ujedinjene su kod svestranih virusa (multipartite virusa). Ovi virusi sposobni su zaraziti i BOOT sektore i izvršne programe, povećavajući tako mogućnost širenja. Poput boot sektor virusa i ovi su virusi veoma
efikasni u širenju. Virusi pratioci Najjednostavniji oblik računarskih virusa su upravo virusi pratioci. Oni koriste prioritet kojim se izvršavaju programi s istim imenom pod DOS-om. COM datoteke se uvek izvršavaju pre .EXE datoteka, program iz direktorija koji su na početku PATH niza izvršavaju se pre onih sa kraja. Virus pratilac obično stvori .COM datoteku koristeći ime već postojećeg .EXE programa i ugradi u nju svoj kod. Princip je jednostavan – kada program bude pozvan, umesto originala sa .EXE ekstenzijom, prvo će se izvršiti podmetnuti .COM program sa virusnim kodom. Kada izvršavanje virusnog koda bude završeno, virus će kontrolu vratiti kontrolu programu sa .EXE ekstenzijom. Da bi prikrio prisustvo, virus pratilac će postaviti skriveni atribut za .COM program u koji je stavio svoj sadržaj. Ova vrsta ne menja ˝napadnuti˝ program, a zbog nespretnog načina širenja ne predstavlja veću opasnost. Link virusi Najinfektivnija vrsta virusa su link virusi koji jednom pokrenuti, u trenutku inficiraju napadnuti računarski sistem. Poput virusa pratioca ovi virusi ne menjaju ˝napadnute˝ programe već menjaju pokazivače u strukturi direktorija na takav način da ih preusmere na cluster na disku gde je prethodno sakriven virusni kod. Na svu sreću, ova izrazito infektivna i neugodna vrsta virusa, koja zbog samog načina razmnožavanja može izazvati pravi haos na disku, ima trenutno samo dva predstavnika i ukupno četiri varijante. Makro ili skriptni virusi Najčešći virusi u posljednje vreme koriste mogućnost izvršavanja skripti u programima koji su u širokoj upotrebi, npr. Internet Explorer, Outlook i Outlook Express, zatim Word, Excel. Mnogi od tih programa imaju puno sigurnosnih rupa za koje se zakrpe ne izdaju često, a korisnici ih još manje primenjuju. Ukoliko je sigurnost prioritet pri radu na računaru predlaže se isključivanje skriptnih jezika (Java, VBscript itd.) Putevi zaraze Najčešće postavljano pitanje nakon otkrivanja virusa je ˝kako je do zaraze došlo?˝. Iako su mnoge stvari vezane uz viruse vrlo složene, odgovor na ovo pitanje je više nego jednostavan. Kao što smo rekli svaki virusni kod, da bi se umnožavao, treba prethodno biti izvršen. Neki se programi na računaru izvršavaju voljom korisnika, a neki automatski, bez njegove volje. Diskete - Floppy diskovi (diskete) su najčešći medij kojima se prenose virusi. Budući da su diskete standardno sredstvo razmene programa i informacija, njima se odvija i najveći deo komunikacije između korisnika i računara. Zapamtite, disketa ne mora biti sistemska da bi prenijela boot sektor virus i zarazila vaš računar. Izmenjivi hard-diskovi i flesh memorije - iako se ređe koriste također predstavljaju pogodan medij za prenos svih vrsta virusa, a sve veća upotreba i rasprostranjenost flesh memorija je veoma lak i uspešan naćin prenosa virusa. CD i DVD-ROM su se pokazali kao odličan medij za prenos virusa, iako se sa CDROM-ova u pravilu ne obavlja startovanje sistema pa nisu pogodan medij za prenos boot sektor virusa. Nezgodna je činjenica da programi i podaci na njima dolaze u
komprimiranoj (zipovanoj) formi, što dodatno otežava pregled antivirusnim programima. Mreže - Zbog sve veće rasprostranjenosti virusi na računarskim mrežama predstavljaju jedan od najvećih sigurnosnih rizika danas, a predstavljaće ga i u budućnosti. Šta su crvi Klasični virusi danas su zapravo retki. Današnji korisnici uglavnom se sreću sa crvima. Crv je, kao i virus, napravljen tako da se kopira sa jednog računara na drugi, samo što on to radi automatski, preuzimanjem kontrole nad funkcijama računara koje omogućuju prenos datoteka i podataka. Kada crv uđe u vaš sistem, on dalje može da putuje sam. Velika opasnost kod crva jeste njihova sposobnost da se umnožavaju u ogromnim količinama. Na primer, crv bi mogao da pošalje kopije sebe samog svima iz vašeg adresara e-pošte, a zatim bi njihovi računari uradili to isto, čime se izaziva domino efekat zagušenja u mrežnom saobraćaju što usporava poslovne mreže i Internet u celini. Kada se oslobode, novi crvi se šire veoma brzo, zagušujući mreže, što može da znači da ćete vi (i svi ostali) morati da čekate duplo duže da se otvore Web stranice na Internetu. Crv je potklasa virusa. Crv se obično širi bez pomoći korisnika i sam distribuira sopstvene potpune kopije (možda izmenjene) širom mreža. Crv može da zauzme memoriju ili propusni opseg mreže toliko da računar prestane da reaguje. Pošto crvima nije potreban „program-domaćin“ ili datoteka da bi putovali, oni takođe mogu da se krišom uvuku u vaš sistem i omoguće nekome drugome da daljinski kontroliše vaš računar. Sveži primeri crva jesu crvi Sasser i Blaster. Crvi su maliciozni programi koji se šire računarskim mrežama i računarima, a da pritom ne inficiraju druge programe. Ovde vidimo osnovnu razliku između virusa i crva, a to je da crvi nemaju prvu i obaveznu komponentu virusa, mogućnost infekcije programa. Crvi obično upotrebljavaju računarsku mrežu ne bi li se širili i danas najčešće na adresu primaoca stižu u vidu attacha poruke elektronske pošte. Neki drugi crvi za svoje širenje koriste različite sigurnosne probleme, ali svima im je karakteristika da ne inficiraju druge programe. Šta je trojanski konj Poput mitološkog trojanskog konja koji je ličio na poklon, ali su u njemu bili sakriveni grčki vojnici koji su zauzeli Troju. Savremeni trojanski konji su računarski programi koji deluju kao koristan softver, a zapravo ugrožavaju vašu bezbednost i izazivaju puno štete. Jedan skorašnji trojanski konj pojavio se u obliku e-poruke koja je imala priloge za koje se u poruci tvrdilo da su Microsoftove bezbednosne ispravke, a ispostavilo se da su to bili virusi kojima je zadatak da onemoguće antivirusni softver i zaštitni zid. Trojanski konj je računarski program koji je upakovan da deluje korisno, a zapravo je štetan i naizgled služi za neku drugu operaciju od one za koju je napravljen. Trojanski konj bi recimo bio program koji izgleda kao tekst procesor, a zapravo jednom pokrenut formatira hard disk. Mnogi autori virusa koriste trojanske konje kako bi olakšali njihovo razmnožavanje. Trojanski konji se šire tako što navode ljude da otvaraju programe misleći da oni potiču iz legitimnih izvora. Microsoft često šalje bezbednosne biltene putem e-pošte da bi bolje zaštitio korisnika, ali oni nikada ne sadrže priloge. Trojanski konji se mogu nalaziti i u besplatnom softveru koji preuzimate. Nikad nemojte preuzimati softver iz nepouzdanog izvora. Microsoftove ispravke i zakrpe uvek
preuzimajte pomoću usluga Microsoft Windows Update ili Microsoft Office Update. Prepoznavanje virusa – antivirusni programi Današnje antivirusne programe možemo podeliti na dve grupe – programe za prepoznavanje specifičnih virusa i programe za nespecifično prepoznavanje virusa. Skeneri Skeneri su programi za specifično prepoznavanje virusa, mada bi neki od njih, koji koriste heurističke metode traženja virusa, mogli biti svrstani u grupu programa za nespecifično prepoznavanje virusa, budući da su, bar teoretski, sposobni prepoznati i nepoznate viruse. Skener tradicionalno prepoznaje virus na temelju (u njega) ugrađenih podataka, koji su prethodno pribavljeni analizom virusa koji se pojavio među korisnicima. Ti podaci mogu se odnositi na niz heksadecimalnih znakova (search string) – koji katkad mogu sadržavati i wildcard (džoker) znakove. Glavna prednost skeniranja je mogućnost trenutnog otkrivanja poznatih virusa jednostavnim pregledom sumnjivog sadržaja. Ako skener prepozna virus, on će javiti tačno o kojem se virusu radi, a to je vrlo korisno jer se prema tom podatku mogu proceniti i moguće posljedice napada virusa. Pravilno korišten skener pomoći će nam da otkrijemo virus na pristiglim disketama pre nego zarazi štićene računare. Nedostaci skenera odnose se na potrebu za stalnim dograđivanjem radi prepoznavanja novonastalih virusa, no nemogućnost prepoznavanja virusa o kojima nemaju potrebne podatke. Iako postoje heuristički skeneri, sposobni za otkrivanje novonastalih, nepoznatih virusa, koji su bazirani na tehnologiji znanja (knowledge based), kao i svaki takav sistem ima i puno mana. Skeneri su danas najrasprostranjeniji antivirusni softver. Provera checksumm-om Tehnika provere checksumm-om temelji se na mogućnosti prepoznavanja svake promene na štićenom sadržaju. Checksumm-om se ˝zaledi˝ stanje sistema za koji prethodno utvrdimo da je neinficiran. Nakon toga se u određenim vremenskim razmacima proverava da li je na sistemu došlo do nekih promena. Checksummiranje je jedina poznata metoda kojom će se sigurno otkloniti svi virusi, bez obzira na to jesu li poznati ili ne. Ova činjenica čini checksummere jednim dugoročnim osloncem svake mudre antivirusne strategije. Nedostatak checksummera leži u činjenici da se njima otkriva infekcija virusom tek nakon što se već dogodila, međutim, njihovom redovitom primenom sigurno se može otkriti virus pre nego što dođe do značajne štete. Programi za nadgledanje Programi za nadgledanje prate odvijanje pojedinih funkcija sistema preko odgovarajućih interrupta. Tako npr. kad god sistem dobije nalog za učitavanjem neke izvršne datoteke, može se i izvršiti provera. Neki monitori ne traže specifične viruse nego pokušavaju otkriti sumnjive aktivnosti kao što su primerice pisanje po Master BOOT sektoru ili izvršnim programima, pokretanje formatiranja diska, pokušaj programa da se
učini rezidentnim u memoriji i sl. Jedina prednost monitora je da mogu otkriti virus u realnom vremenu. Nedostaci monitora su brojni. Najveći nedostatak je nemogućnost delotvorne primene programa koji bi u sebi sadržavao podatke za prepoznavanje svih poznatih virusa. Monitori koji otkrivaju sumnjive aktivnosti često izazivaju brojne lažne uzbune, jer označavaju sumnjivim i redovne aktivnosti kao što su formatiranje disketa ili instaliranje raznih programa u memoriju. Posledice napada virusa Po pravilu, svaki program inficiran virusom već je u određenoj meri oštećen i potrebno ga je dovesti u ispravno stanje. Ovo se dešava uvek, bez obzira na to da li virus ima tzv. korisni teret i bez obzira koja mu je namera. Danas je sve veći trend izrade virusa koji pri infekciji jednostavno prepišu deo koda napadnutog programa i na taj način nepopravljivo oštete napadnuti objekt. Na primer link virusi mogu napraviti pravi krš na disku jer dovode do tzv. cross-linked datoteka. Program zaražen virusom može grešiti u radu. Virus koji se instalira u memoriju može izazvati greške u radu drugih programa koji se instaliraju u memoriju ili može programima oduzeti memoriju potrebnu za rad. Mnogi pisci računarskih virusa uključuju u virus koristan teret, kod koji je sposoban izvršiti neki zadatak kao što je npr. ispisivanje poruka, ometanje rada sistema, brisanje određenih podataka, formatiranje diska ili korupcija podataka. Glupe i neprimerene poruke, neuverljive ljubavne izjave ili usamljeničke rođendanske čestitke – najmanji su dodatni problem. Blokiranje računara, usporenje rada mašine – predstavljaju pravi problem. Očigledno brisanje programa i podataka ili formatiranje diska, koliko je god nezgodno i štetno nije najveći stepen oštećenja, kako to mnogi misle. Ako se redovno sprovodi temeljito arhiviranje podataka (backup), već nakon kraćeg vremena računar može biti ponovno osposobljen i spreman za rad. Najgori mogući oblik štete je korupcija podataka, neprekidno i progresivno propadanje integriteta ili tačnosti podataka. Korupcija podataka može biti izazvana namerno ili se javiti slučajno. Oštećene mogu biti baze podataka, arhivi s programima i podacima, tekstualne datoteke i sl. Slučajan oblik korupcije je kada virus greškom inficira tekstualnu datoteku. Datoteka će biti oštećena, a virus u toj datoteci neće se moći razmnožavati. Nameran oblik korupcije je kada virus pregleda disk u potrazi za bazama podataka, te u nađenoj nasumice izmeni neki podatak. Ako korupcija traje duže vreme doći će do nepopravljivih posledica. Arhiviranje podataka nije dovoljna zaštita od korupcije podataka, jer ako ona ne bude otkrivena tokom jednog punog ciklusa arhiviranja, podaci će biti nepopravljivo oštećeni, budući da će sve arhivske kopije sadržavati oštećene podatke. Jedina zaštita od korupcije podataka je provera njihovog integriteta, pri čemu nije dovoljno proveravati samo vanjski, već i unutrašnji integritet.