日本电子维修技术 教你怎样判断真正的鬼影病毒
鬼影病毒,因为其隐藏性比较好,其编写思路有可能被未来的病毒编写者看好,成为今后流行病毒的“潜力股”。
近期流行的那两个鬼影变种,就其“隐藏性”而言,应该还不算很好。这两个鬼影病毒居然明目张胆地往用户桌面添加IE快捷图标;且在系统启动后,细心的用户还会在windows目录下发现反复出现的病毒文件alg.exe或ali.exe。个人觉得这还算不上真正的“鬼影”。今后出现的“鬼影病毒”有可能会去掉这些张扬的成分,成为真正的鬼影。
由此便可引出一个普通用户最关心的问题:我怎么知道自己的电脑是否中了鬼影病毒?或问:中了鬼影病毒后我能看到些啥典型症状?
鬼影病毒的寄生地位于硬盘主引导扇区的“主引导记录(Master Boot Record),简称:MBR。要看“中毒后的典型症状”,应查看主引导扇区的内容。主引导扇区位于硬盘的0面0道1扇区。使用不同的工具查看这个扇区,有一个小小的问题需要注意:主引导扇区号可能有差异:用WinHex看到的主引导扇区序号与我们经常说的主引导扇区序号一致(即:0面0道1扇区);但用SectorEditor看到的主引导扇区是0面0道0扇区,而不是我们通常说的“0面0道1扇区”。用SectorEditor看到的0面0道的64个扇区编号为0-63。
查看主引导扇区,对于一般用户来说无异于看天书。其中的内容全部为十六进制数字!
本人也是菜鸟,完全读不懂那天书般的MBR内容。但这并妨碍我通过查看MBR判断电脑是否中了鬼影病毒。基本思路就是:先大体上了解一下正常的主引导扇区内容。正常的主引导扇区内容如图1。
登录/注册后看高清大图
图1中红色高亮部分就是正常的“主引导记录”(即:MBR);绿色高亮显示的是正常的“硬盘分区表”(DPT);灰色高亮显示的是“扇区结束标志”。知道了正常MBR是啥样的,就有了比较标准。通过比较,就不难发现MBR的异常。
中鬼影病毒第二个变种前后的MBR比较见图2。
登录/注册后看高清大图
这个新变种除了改写MBR外,还改写了0面0道内的37个扇区!中此病毒前后的0面0道2扇区(SectorEditor标为0面0道1扇区)内容的比较见图3。
登录/注册后看高清大图
中此毒前后的0面0道39扇区(SectorEditor标为0面0道26扇区;这个“26”为十六进制数)内容的比较见图4。
登录/注册后看高清大图
此毒改写的扇区数较多,在此就不一一截图了。
此外,我曾用SectorEditor查看过不同电脑0面0道各扇区内容,在此大致交待一下,可供中鬼影病毒后判断与处理主引导扇区及0面0道其它扇区时参考:
1、我见过的多数电脑:
(1)0面0 道0扇:MBR+DPT
(2)0面0道1-61扇:空(内容全部为0)
(3)0面0道62-63扇:有内容。不要更改。
2、某些品牌电脑:
见过一台DELL品牌机,上述内容除第(1)、(3)部份与多数电脑相同外,第(2)部份中 10号扇区有内容。
另一个例子就是我那个ThinkpadT60p 笔记本。可能是因为其ThinkVantage蓝键的特殊引导需要,上述第(2)部份中 1-12扇区也有内容。
评论
说的比较的详细啊。有机会对比下
评论
到现在我还不知道 我的电脑是不是中了鬼影 今晚回去对比下
评论
重写主引导
评论
对电脑影响大不大
评论
没遇到过,有机会看下这类型的病毒有什么用
评论
在不丢失资料的情况下。怎么杀呢。有方法没?
评论
如果怀疑的话,无需判断电脑是否中了鬼影病毒。重装系统前重建MBR也不麻烦啊。
评论
病毒不可怕,可怕病毒有文化。。。。。
评论
一般直接分区后重建MBR 顺手的事情而已
评论
看见这图也太复杂了,有点头晕
评论
我的电脑没问题
评论
重装一下就好
评论
学习了,注意别的了这个问题,呵呵!
评论
谢谢分享,学习了。
评论
图片怎么显示不出来
评论
积分!积分!积分!积分!积分!积分! 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号,不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01 电路 电子 维修 我现在把定影部分拆出来了。想换下滚,因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗? 评论 认真看,认真瞧。果然有收
·日本留学生活 求个大阪合租
·日本留学生活 自家房招租求
·日本留学生活 东京地区出9成新lv钱包
·日本育儿教育 孩子从国内过来如何学习日语
·日本育儿教育 明年四月横滨招月嫂
·日本育儿教育 请问咋让娃突破识字关?感谢分享中文共读和学习经验的妈妈
·中文新闻 东区明星迈克尔·格列柯,53 岁,将在第一次出生两年后第二次
·中文新闻 《爱情岛》明星卡米拉·瑟洛和杰米·朱维特在透露即将迎来第三