baohe - 2010-5-31 21:01:00
转贴请注明出处:bbs.ikaka.com 作者:baohe
鬼影病毒,因为其隐藏性比较好,其编写思路有可能被未来的病毒编写者看好,成为今后流行病毒的“潜力股”。
近期流行的那两个鬼影变种,就其“隐藏性”而言,应该还不算很好。这两个鬼影病毒居然明目张胆地往用户桌面添加IE快捷图标;且在系统启动后,细心的用户还会在windows目录下发现反复出现的病毒文件alg.exe或ali.exe。个人觉得这还算不上真正的“鬼影”。今后出现的“鬼影病毒”有可能会去掉这些张扬的成分,成为真正的鬼影。
由此便可引出一个普通用户最关心的问题:我怎么知道自己的电脑是否中了鬼影病毒?或问:中了鬼影病毒后我能看到些啥典型症状?
鬼影病毒的寄生地位于硬盘主引导扇区的“主引导记录(Master Boot Record),简称:MBR。要看“中毒后的典型症状”,应查看主引导扇区的内容。主引导扇区位于硬盘的0面0道1扇区。使用不同的工具查看这个扇区,有一个小小的问题需要注意:主引导扇区号可能有差异:用WinHex看到的主引导扇区序号与我们经常说的主引导扇区序号一致(即:0面0道1扇区);但用SectorEditor看到的主引导扇区是0面0道0扇区,而不是我们通常说的“0面0道1扇区”。用SectorEditor看到的0面0道的64个扇区编号为0-63。
查看主引导扇区,对于一般用户来说无异于看天书。其中的内容全部为十六进制数字!
本人也是菜鸟,完全读不懂那天书般的MBR内容。但这并妨碍我通过查看MBR判断电脑是否中了鬼影病毒。基本思路就是:先大体上了解一下正常的主引导扇区内容。正常的主引导扇区内容如图1。
图1中红色高亮部分就是正常的“主引导记录”(即:MBR);绿色高亮显示的是正常的“硬盘分区表”(DPT);灰色高亮显示的是“扇区结束标志”。知道了正常MBR是啥样的,就有了比较标准。通过比较,就不难发现MBR的异常。
中鬼影病毒第二个变种前后的MBR比较见图2。
这个新变种除了改写MBR外,还改写了0面0道内的37个扇区!中此病毒前后的0面0道2扇区(SectorEditor标为0面0道1扇区)内容的比较见图3。
中此毒前后的0面0道39扇区(SectorEditor标为0面0道26扇区;这个“26”为十六进制数)内容的比较见图4。
此毒改写的扇区数较多,在此就不一一截图了。
此外,我曾用SectorEditor查看过不同电脑0面0道各扇区内容,在此大致交待一下,可供中鬼影病毒后判断与处理主引导扇区及0面0道其它扇区时参考:
1、我见过的多数电脑:
(1)0面0 道0扇:MBR+DPT
(2)0面0道1-61扇:空(内容全部为0)
(3)0面0道62-63扇:有内容。不要更改。
2、某些品牌电脑:
见过一台DELL品牌机,上述内容除第(1)、(3)部份与多数电脑相同外,第(2)部份中 10号扇区有内容。
另一个例子就是我那个ThinkpadT60p 笔记本。可能是因为其ThinkVantage蓝键的特殊引导需要,上述第(2)部份中 1-12扇区也有内容。
用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.5.22 Version/10.51