迅维网
标题:
教你怎样判断真正的鬼影病毒
[打印本页]
作者:
申贵帆
时间:
2011-6-8 08:37
标题:
教你怎样判断真正的鬼影病毒
鬼影病毒,因为其隐藏性比较好,其编写思路有可能被未来的病毒编写者看好,成为今后流行病毒的“潜力股”。
近期流行的那两个鬼影变种,就其“隐藏性”而言,应该还不算很好。这两个鬼影病毒居然明目张胆地往用户桌面添加
IE
快捷图标;且在系统启动后,细心的用户还会在
windows
目录下发现反复出现的病毒文件
alg.exe
或
ali.exe
。个人觉得这还算不上真正的“鬼影”。今后出现的“鬼影病毒”有可能会去掉这些张扬的成分,成为真正的鬼影。
由此便可引出一个普通用户最关心的问题:我怎么知道自己的电脑是否中了鬼影病毒?或问:中了鬼影病毒后我能看到些啥典型症状?
鬼影病毒的寄生地位于硬盘主引导扇区的“主引导记录
(Master Boot Record
),简称:
MBR
。要看“中毒后的典型症状”,应查看主引导扇区的内容。主引导扇区位于硬盘的
0
面
0
道
1
扇区。使用不同的工具查看这个扇区,有一个小小的问题需要注意:主引导扇区号可能有差异:用
WinHex
看到的主引导扇区序号与我们经常说的主引导扇区序号一致
(
即:
0
面
0
道
1
扇区);但用
SectorEditor
看到的主引导扇区是
0
面
0
道
0
扇区,而不是我们通常说的“
0
面
0
道
1
扇区”。用
SectorEditor
看到的
0
面
0
道的
64
个扇区编号为
0-63
。
查看主引导扇区,对于一般用户来说无异于看天书。其中的内容全部为十六进制数字!
本人也是菜鸟,完全读不懂那天书般的
MBR
内容。但这并妨碍我通过查看
MBR
判断电脑是否中了鬼影病毒。基本思路就是:先大体上了解一下正常的主引导扇区内容。正常的主引导扇区内容如图
1
。
登录/注册后看高清大图
图
1
中红色高亮部分就是正常的“主引导记录”(即:
MBR
);绿色高亮显示的是正常的“硬盘分区表”(
DPT
);灰色高亮显示的是“扇区结束标志”。
知道了正常
MBR
是啥样的,就有了比较标准。通过比较,就不难发现
MBR
的异常。
中鬼影病毒第二个变种前后的
MBR
比较见图
2
。
登录/注册后看高清大图
这个新变种除了改写
MBR
外,还改写了
0
面
0
道内的
37
个扇区!中此病毒前后的
0
面
0
道
2
扇区(
SectorEditor
标为
0
面
0
道
1
扇区)内容的比较见图
3
。
登录/注册后看高清大图
中此毒前后的
0
面
0
道
39
扇区(
SectorEditor
标为
0
面
0
道
26
扇区;这个“
26
”为十六进制数)内容的比较见图
4
。
登录/注册后看高清大图
此毒改写的扇区数较多,在此就不一一截图了。
此外,我曾用
SectorEditor
查看过不同电脑
0
面
0
道各扇区内容,在此大致交待一下,可供中鬼影病毒后判断与处理主引导扇区及0面0道其它扇区时参考:
1
、我见过的多数电脑:
(
1
)
0
面
0
道
0
扇:
MBR+DPT
(
2
)
0
面
0道1-61
扇:空(内容全部为
0
)
(
3
)
0
面
0
道
62-63
扇:有内容。不要更改。
2
、某些品牌电脑:
见过一台
DELL
品牌机,上述内容除第(
1
)、(
3
)部份与多数电脑相同外,第(
2
)部份中
10
号扇区有内容。
另一个例子就是我那个
ThinkpadT60p
笔记本。可能是因为其
ThinkVantage
蓝键的特殊引导需要,上述第(
2
)部份中
1-12
扇区也有内容。
作者:
hefeiyu82
时间:
2011-6-8 09:05
说的比较的详细啊。有机会对比下
作者:
282479264
时间:
2011-6-8 09:57
到现在我还不知道 我的电脑是不是中了鬼影 今晚回去对比下
作者:
bbethree
时间:
2011-8-7 09:40
重写主引导
作者:
菜鸟起步
时间:
2011-8-7 10:20
对电脑影响大不大
作者:
云奇雨
时间:
2011-8-15 20:55
没遇到过,有机会看下这类型的病毒有什么用
作者:
liulangwo
时间:
2011-8-15 21:39
提示:
作者被禁止或删除 内容自动屏蔽
作者:
dsqzp
时间:
2011-8-16 10:05
如果怀疑的话,无需判断电脑是否中了鬼影病毒。重装系统前重建MBR也不麻烦啊。
作者:
957646129
时间:
2011-8-16 10:17
病毒不可怕,可怕病毒有文化。。。。。
作者:
嘉善小张
时间:
2011-8-16 10:55
一般直接分区后重建MBR 顺手的事情而已
作者:
光明之风
时间:
2011-8-16 20:43
看见这图也太复杂了,有点头晕
作者:
a275453099
时间:
2012-5-29 14:15
我的电脑没问题
作者:
wn1nn67
时间:
2014-1-22 21:14
重装一下就好
作者:
wuzhan1119
时间:
2014-2-20 14:20
学习了,注意别的了这个问题,呵呵!
作者:
dd9835
时间:
2014-2-21 11:33
谢谢分享,学习了。
作者:
renkaihong1981
时间:
2014-2-21 11:48
图片怎么显示不出来
作者:
yuytee
时间:
2014-2-24 22:00
积分!积分!积分!积分!积分!积分!
欢迎光临 迅维网 (https://www.chinafix.com/)
Powered by Discuz! X3.4
