Amrunnor

QIP написан на дельфи, поэтому долго грузится и ест много оперативки. Еще у меня лично (вер.8030) он отображал в КЛ только часть ников, остальные оставались просто номерами (КЛ подкачивался с сервера). Естественно, я не говорю, что многомегабайтное отсутствие культуры программирования rambler ICQ 5/6 - лучше. Миранда рулит. Сейчас у нее адекватно работает передача файлов, поэтому главное конкурентное преимущество QIP - поддержка передачи файлов - исчезло.

Эльфы и есть амбидекстеры. Толкиен передал нам эзотерическую информацию об этой черте Старшего народа в рассказе как создавалась эльфийская письменность: первый алфавит, тот что был до тенгвара - "сарати" был специально заточен Румилом под письмо в любом направлении, потому что эльфы одинаково охотно писали и левой и правой рукой. Да, у амбидекстеров нет специализации полушарий, поэтому с логикой и интуицией всё получается иначе, как раз так, как известно про эльфов. И еще - симметричная работа мозга способствует магии. Сайт делал я. Мир тесен.

B@zzy Судя по всему защищена не дискета, а сами файлы зашифрованы. Сделай образ дискеты этой программой Winimage 8.0 (ссылка) в формате IMZ (сжатый образ) и выложи его здесь. Тяжелую артиллерию типа FDA (требует голого ДОСа и не пойдет под юзерским XP) на первых порах задействовать не следует. Тем более она задумана для копирования дискет, а не считывания с них файлов.

Да, бывает такое. Но речь идет о тех, которые не проверяют. Их подавляющее большинство. Для особо извращенных программ, если они небольшие, можно заново скачать дистрибутив, поставить заново или выдрать оттуда exe-шник. А большие у нас обычно - игры. У меня Анрил2 и, если не ошибаюсь Еретик2 (ИМХО, самая рульная игра), тоже проверяли контрольную сумму, пока я их лично от CD не отучил, естественно, вместе с этой проверкой. К чему я это - все прямыми руками сломанные игры (охота вставлять диск для каждой игры?) - проверку CRC не проводят. Инсталляторы. setup.exe от InstallShield вирус не заражает из-за необычной структуры - он ведь и под Win16 запускаться может. Самораспаковывающийся exe архив не обязательно запускать - его можно открыть архиватором, напр. WinRAR. Если в дистрибутив построен на основе MSI - setup.exe нафиг не нужен, запускаем сам msi-файл, его вирус не заражает Вспомнилось: ..."SOME OF THEIR RULES CAN BE BENT, OTHERS CAN BE BROKEN"... Идеал - получить exe файл 1:1 до заражения. Конечно, данная задача представляет больше академичекий интерес, чем практический (ведь у нас есть PE Tools - два клика - и рабочий exe-шник). Копаю дальше.. Пункт 5. Придется посчитать. (D-1)*A<400h<=D*A, где A - выравнивание, берется из соотв. поля PE-заголовка (File Alignment, видно только при редактировании заголовка, F3), D - количество блоков по A байт, которые будут добавлены вирусом На деле всё просто: сколько нужно минимум блоков по A, чтобы втиснуть 400h(1024). При выравнивании 200h - 2, при 1000h - 1... Правим последнюю секцию в Object Table (F6, F3): 6. Восстановленный Virtual Size Vo=V-D*A 7. Исходный Physical Size Fo=F-D*A 8. Выходим из Object Table и возвращаемся к правке общего заголовка (F3): восстановленный Image Size Io=R+Vo, где R - RVA последней секции, хотя ничего считать не надо, HIEW сам корректирует размер Image Size, если поставит курсор на данное поле и нажать F3. Почему "восстановленный" и "исходный"? Потому что получить изначальный параметр для virtual-полей, видимо, невозможно - они часто не кратны A, а вирус в своих расчетах округляет в большую сторону до кратного. Image Size считается вирусом так: RVA посл.секции + Virt.Size посл.секции с округлением в большую сторону до ближайшего кратного A числа, поэтому восстановить - исходный параметр - вряд ли возможно. Теоретическую проблему пока представляют самораспаковывающиеся архивы. Но практически - можно, как я уже говорил, если формат популярный и более-менее открытый (zip, rar, MS cabinet), распаковать архиватором. В других случаях можно определить тип и версию встроенной программы-распаковщика, найти аналогичный архив и заимствовать оттуда данные о последней секции... По поводу CRC - познавательная статья: Как подделывают CRC16/32

Лечение от вируса Trojan.win32.small.go --------------------------------------------------------- Программы, которые нам понадобятся: HIEW версии 6.11 и выше, PE Tools 1.5 или PE Explorer (необязательно) Итак. Провожу я опыт на программе "карта Москвы 2000", незараженная копия которой осталась на CD. (mom2000.exe - тот, что заражен) D:\>fc /b mom.exe mom2000.exe Сравнение файлов mom.exe и MOM2000.EXE 000000A8: 90 00 \ 000000A9: E1 E2 } меняет точку входа 000000AA: 01 04 / 000000C4: 00 8F \ 000000C5: 00 93 } меняет Image version (в исходном файле как правило 0) 000000D1: F0 E6 - вычитает A00 из Image size 00000220: E0 00 \ 00000221: D1 D6 } прибавляет 420h к Virtual size последней секции 00000229: D2 D6 - прибавляет 400h к Physical size последней секции 0000023C: 40 60 } меняет флаг последней секции на E0000060 0000023F: 40 E0 / FC: MOM2000.EXE длиннее, чем mom.exe Начало вируса, сигнатура по сути: 60 pushad 9C pushfd E800000000 call $+5 5D pop ebp 83ED07 sub ebp,007 8B742424 mov esi,[esp][24] 8CD8 mov ax,ds 50 push eax 1F pop ds ... Что же делает вирус? Он дописывает себя в конец exe-файла (файл увеличивается на 191840 байт) и меняет 9-11 байт в PE заголовке: - точку входа - Image version (видимо для быстрого вычисления себя для предотвращения повторного заражения) - Size of image - последнюю секцию - значения VirtSize, PhysSize, флаг С первым всё просто - в HIEW переходим на точку входа вируса (Enter, F8, F5) и отрезаем хвост с вирусом функцией truncate (F10). Но в первую очередь мы делать этого не будем: нужно повозиться с заголовком, а в теле вируса содержится необходимая информация - оригинальная точка входа, которую обязательно нужно будет найти! Проблема была решена в том же HIEW - в незараженном файле узнается точка входа: 1E190 + 400000 = 41E190 Дальше, в зараженном файле с места начала вируса была найдена последовательность байт 90 E1 41 00. И точно: код вируса .0044E4A5: 9D popfd .0044E4A6: 61 popad .0044E4A7: 6890E14100 push 00041E190 .0044E4AC: C3 retn явно рассчитан на передачу управления полезной программе. Значит, в данной версии вируса точку входа можно найти по адресу: вирусная точка входа + 2A8 (2A8 = 44E4A8 - 44E200). Самое сложное - это восстановление остальных записей PE-заголовка в прежнем виде. Пока я до конца не проанализировал что именно делает вирус с заголовком, поэтому выкладываю минимум что надо сделать, чтобы получить работоспособный EXE файл без вируса. Общий порядок действий: 1. Находим оригинальную точку входа (начало вируса + 2A8), необходимо помнить, что в памяти байты идут в обратном порядке и нужно вычитать 400000h (простым отбрасыванием начальной 4-ки в адресе) 2. Открываем редактор заголовка (F8, F3), в нем ставим оригинальную точку входа 3. Идем в начало вируса и отрезаем вирус командой truncate (F3, F10) ---------------------------------------------------------------- дальнейшие пункты можно заменить программой PE Tools (меню Tools->Rebuild PE) - делает с заголовком что-то своё, но результат вроде работоспособен ---------------------------------------------------------------- 4. идем в Object table (F6) из просмотра заголовка и вычитаем 400h из Virtual size последней секции 5. там же - вычитаем 400h из Physical size последней секции Всё, вируса нет.

WinAMP рулит. Но не любой, а 2.xx - у него маленький вес и высокое качество декодирования звука. Плагин для декодирования мп3 Snibatch дополнительно улучшает качество и задействует регистры MMX. iTunes - это ламерство: во-первых - часть сервиса по покупке музыки, во-вторых - ответная часть к плееру iPod, и если его нет - какой смысл грузить систему излишествами. Ну и в третьих - 30 Мб на диске.. А Real Player - это вообще жесть... Что же касается альтернативы, то, считаю, что альтернативный плеер должен обладать качественным звуком и таким же малым потреблением системных ресурсов, как WinAMP.

FireFox и т.п. браузеры на движке gecko - это прожорливость ресурсов системы и неповоротливость по типу крупного динозавра, плюс, конкретно в FireFox - дырявость хуже IE. Судите сами - первые браузеры на движке gecko требовали машину класса PII, в то время как IE4 и даже 5 нормально шел на PI. Единственный правильный браузер на настоящий момент - это Опера. Можно скачать бесплатно 9-ю версию или найти и сломать (при пом.кейгена) 6.06 (она пошустрее на машинах класса PI-PII) Старые "Оперы" (3-6) хороши тем, что умеют гарантированно отрисовывать недогруженные странички, отображая до последнего байта всё, что было загружено до отключения от нета или нажатия escape. 7-я Опера - отстой: глюки и тормоза (личный опыт), потом узнал, что причина - разработчики пробовали использовать вышеупомянутое ядро gecko. На чем работает 9я не знаю, но работает прилично. www.opera.com По поводу вируса Trojan.win32.small.go: антивирусы в exe-шниках его не ловят, потому что в фирмах разработчиках антивирусов сидят ламеры, которые, как Microsoft получают деньги вне зависимости от качества программ. Это раньше, когда дискеты были большими, а программы маленькими, вирусы размножались именно так, заражая все исполняемые файлы. А антивирусы - умели исполняемые файлы лечить. Потом вирмейкеры решили сделать единицей заражения компьютер в сети, а не файл. Поэтому разработчики антивирусов обленились - им уже не нужно стало грузиться проблемами как лечить программу от вируса: удалил один файл - и вируса нет. Теперь самое главное: совет как обнаружить вирус в exe-файле на глаз . "Матрицу" все смотрели? Итак, запускаем консольный, а не какой-нибудь ламерский файл-менеджер - FAR, VC, NC или Hackers View (в идеале HIEW у мастеров своего дела должен вызываться для exe-шников по F4) Смотрим в текстовом режиме конец файла. Там должно быть: ААА ААА ААА ААА ААА ААА ААА ААА ААА ААА ААА ААА ААА ААА ААА ААА ААА АА А ААА ААА ААА ААА ААА ААА ААА ААА ААА ААА ААА ААА ААА Полностью скриншот характерного конца зараженного файла -в прикрепленном рисунке. продолжение следует: Как вручную вылечить от данного вируса исполняемый файл Написание утилиты, лечащей от вируса автоматически.

Нормального перехода не хватает на перекрестке Московский проспект-Чехова. Или светофор, или подземный. Зебра на такой оживленной дороге не действует на водителя никак. В итоге приходится переходить ближе к фонтану... Видимо, о проблеме подумают только тогда, когда кого-то задавят )

UNIX - это классика, а она вечна (по человеечским меркам - вечна) Насчет оси на .NET Представим себе ядро, построенное на java/бейсик-подобных программных модулях. Все играли в java-игры на телефоне? Быстро? А в сравнении с игрой под свою операционку телефона в виде нормального исполняемого файла? И вообще, почему новый Windows (XP) всегда то и дело тормозит, даже когда уровень загрузки процессора приближается к нулю? Потому что увлекаются организацией интерпроцессного общения от чего часто переключается контекст, длиннющими GUID-ами зарегистрированных классов, инициализация объектов... Да и сам подход ООП несет в себе замедление работы с памятью, т.к. для доступа к конкретной переменной в памяти создается цепь вычисления ее адреса: ссылка на ссылку, ссылка на ссылку.. вместо быстрого mov [eax], число. Оттого и тормозит на P4 программа, аналогичная той, что летала на P1. Поэтому рисуется еще более "радостная" картина, если представить себе java-подобные драйверы устройств. Работа на машине P4 класса в лучшем случае будет напоминать Remote Desktop.

Скоростная электричка "Федор Чижов" не оправдала надежд на комфортную дорогу до Москвы и обратно: ехать приходится стоя, все места заняты. За 950 руб. А в Москве - занято еще и заранее (как обыно принято). В цене разница огромная, а в качестве? Чтобы восстановить справедливость, можно поступить, первый вариант: принципиально не платить за проезд на "чиже" - или не ездить на нем, или ездить без билета. И второй вариант - попытаться убедить РЖД пустить поезда "Спутник", которые зря ходят порожняком, до Пушкино. Если будут идти 2 электрички подряд, ехать в них с комфортом будет вероятнее. Телефоны для контакта с ответственными за "чижа" и "спутник" укажу в ближайшее время: узнаю телефоны, позвоню сам и убежусь, что звоню по адресу, выскажу свое мнение, после оставлю их здесь.

Когда-то очень давно, когда Серебрянка соответствовала своему названию и стеной стоял густой лес - земля еще помнила следы волшебного народа, деревья помнили его песни... Эльфийкам нашего города посвящается... Тема "Эльфийский лес" - место знакомства для всех, кто чувствует в себе эльфийское начало, зов души, кто похожи на эльфов и считают их своими героями, и всех, кто просто увлекается фэнтези-тематикой.

собственно, книга