1234   1  /  4  页   跳转

[原创] 如何判断电脑是否中了鬼影病毒

收藏
本主题由 版主 天月来了 于 2012-12-6 12:18:00 执行 下沉主题 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-05-31 21:01 | 只看楼主 短消息 资料
字号: 1楼

如何判断电脑是否中了鬼影病毒

转贴请注明出处:bbs.ikaka.com 作者:baohe




    鬼影病毒,因为其隐藏性比较好,其编写思路有可能被未来的病毒编写者看好,成为今后流行病毒的“潜力股”。
    近期流行的那两个鬼影变种,就其“隐藏性”而言,应该还不算很好。这两个鬼影病毒居然明目张胆地往用户桌面添加IE快捷图标;且在系统启动后,细心的用户还会在windows目录下发现反复出现的病毒文件alg.exeali.exe。个人觉得这还算不上真正的“鬼影”。今后出现的“鬼影病毒”有可能会去掉这些张扬的成分,成为真正的鬼影。
    由此便可引出一个普通用户最关心的问题:我怎么知道自己的电脑是否中了鬼影病毒?或问:中了鬼影病毒后我能看到些啥典型症状?
    鬼影病毒的寄生地位于硬盘主引导扇区的“主引导记录(Master Boot Record),简称:MBR。要看“中毒后的典型症状”,应查看主引导扇区的内容。主引导扇区位于硬盘的001扇区。使用不同的工具查看这个扇区,有一个小小的问题需要注意:主引导扇区号可能有差异:用WinHex看到的主引导扇区序号与我们经常说的主引导扇区序号一致(即:001扇区);但用SectorEditor看到的主引导扇区是000扇区,而不是我们通常说的“001扇区”。用SectorEditor看到的00道的64个扇区编号为0-63
     查看主引导扇区,对于一般用户来说无异于看天书。其中的内容全部为十六进制数字!
     本人也是菜鸟,完全读不懂那天书般的MBR内容。但这并妨碍我通过查看MBR判断电脑是否中了鬼影病毒。基本思路就是:先大体上了解一下正常的主引导扇区内容。正常的主引导扇区内容如图1


    图1中红色高亮部分就是正常的“主引导记录”(即:MBR);绿色高亮显示的是正常的“硬盘分区表”(DPT);灰色高亮显示的是“扇区结束标志”。知道了正常MBR是啥样的,就有了比较标准。通过比较,就不难发现MBR的异常。
    中鬼影病毒第二个变种前后的MBR比较见图2


   这个新变种除了改写MBR外,还改写了00道内的37个扇区!中此病毒前后的002扇区(SectorEditor标为001扇区)内容的比较见图3


   中此毒前后的0039扇区(SectorEditor标为0026扇区;这个“26”为十六进制数)内容的比较见图4


    此毒改写的扇区数较多,在此就不一一截图了。
 
    此外,我曾用SectorEditor查看过不同电脑00道各扇区内容,在此大致交待一下,可供中鬼影病毒后判断与处理主引导扇区及0面0道其它扇区时参考:
1、我见过的多数电脑:
100 0扇:MBR+DPT
200道1-61扇:空(内容全部为0
30062-63扇:有内容。不要更改。
2、某些品牌电脑:
   见过一台DELL品牌机,上述内容除第(1)、(3)部份与多数电脑相同外,第(2)部份中 10号扇区有内容。
   另一个例子就是我那个ThinkpadT60p 笔记本。可能是因为其ThinkVantage蓝键的特殊引导需要,上述第(2)部份中 1-12扇区也有内容。

用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.5.22 Version/10.51
最后编辑baohe 最后编辑于 2010-05-31 21:30:25
分享到:
gototop
 
哥们郁闷啊
头像
强壮不惑狮
  • 帖子:1102
  • 注册: 2010-04-13
  • 来自:
发表于: 2010-05-31 21:09 | 短消息 资料
字号: 2楼

回复:如何判断电脑中了鬼影病毒

这么好的帖子,先支持一下。再好好看
gototop
 
朱德康
头像
初生襁褓狮
  • 帖子:67
  • 注册: 2008-06-27
  • 来自:深圳市
发表于: 2010-06-01 19:30 | 短消息 资料
字号: 3楼

回复:如何判断电脑是否中了鬼影病毒

大版主,我看得是稀里糊涂,不知看没看懂,不过,好像还没感染。
要预防吧,有没好的办法啊~~~
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-06-01 20:15 | 只看楼主 短消息 资料
字号: 4楼

回复: 如何判断电脑是否中了鬼影病毒



引用:
原帖由 朱德康 于 2010-6-1 19:30:00 发表
大版主,我看得是稀里糊涂,不知看没看懂,不过,好像还没感染。
要预防吧,有没好的办法啊~~~



我知道的具有MBR保护功能的软件有:影子2008和 wondershare time freeze。
gototop
 
FCOME
头像
快乐黄口狮
  • 帖子:207
  • 注册: 2006-09-09
  • 来自:
发表于: 2010-06-01 20:43 | 短消息 资料
字号: 5楼

回复: 如何判断电脑是否中了鬼影病毒



引用:
原帖由 baohe 于 2010-6-1 20:15:00 发表


引用:
原帖由 朱德康 于 2010-6-1 19:30:00 发表
大版主,我看得是稀里糊涂,不知看没看懂,不过,好像还没感染。
要预防吧,有没好的办法啊~~~



我知道的具有MBR保护功能的软件有:影子2008和 wondershare time freeze。

我说我那天跑了下鬼影没有修改我的MBR呢 哈哈 
原来是我开着wondershare time freeze的啊 呵呵
猫叔的帖子就是不错
希望猫叔有时间的时候多出这种好帖子
gototop
 
ぁ流云ぉ
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2010-01-24
  • 来自:
发表于: 2010-06-02 02:52 | 短消息 资料
字号: 6楼

回复:如何判断电脑是否中了鬼影病毒

不懂,都看蒙了~~~~~~~
gototop
 
jks_风
头像
锋芒艾服狮
  • 帖子:2235
  • 注册: 2009-12-17
  • 来自:China
论坛9周年纪念09欢乐圣诞10温馨圣诞世界杯勋章实习生小红花与爱同行
发表于: 2010-06-02 19:36 | 短消息 资料
字号: 7楼

回复:如何判断电脑是否中了鬼影病毒

猫叔辛苦了!

又学到了新知识,看来未来的病毒会更加猥琐了。wondershare time freeze不错的软件,能很好的保护自己。
gototop
 
xingshulin1963
头像
初生襁褓狮
  • 帖子:21
  • 注册: 2007-10-08
  • 来自:
发表于: 2010-06-02 22:35 | 短消息 资料
字号: 8楼

回复:如何判断电脑是否中了鬼影病毒

学习了  又学了一招
gototop
 
流浪●剑尊
头像
叱咤花甲狮
  • 帖子:2117
  • 注册: 2010-01-01
  • 来自:中华人民共和国
就爱不长大十周年国庆61周年与爱同行
发表于: 2010-06-03 21:28 | 短消息 资料
字号: 9楼

回复:如何判断电脑是否中了鬼影病毒

膜拜猫叔!~
专业维修核潜艇、反应堆,xxx 头翻新、抛光、打蜡,回收二手航母,清洗航母油槽,航天飞机保养换三滤,高空作业清洗卫星表面灰尘,批发歼-10.F22.F35.B2轰炸机,各类xxx 头,量大从优,有xxx,三个月内提货,送两年免费保养和飞机后视镜。另承接火车补胎,订做蚊子眼睛,蚂蚁刨腹产等业务.有正规xxx,质量三包.另外新到一批野生散养奥特曼,纯天然,无污染.一批未调试的野生多啦A梦,欲购从速!!
gototop
 
BAGGIO·18
头像
社区嘉宾
  • 帖子:70697
  • 注册: 2006-02-05
  • 来自:Ontheroad
年度优秀版主奖论坛8周年活动礼物卡卡名人堂祖国六十华诞就爱不长大论坛9周年纪念09欢乐圣诞10温馨圣诞世界杯勋章国庆61周年2010国庆勋章
发表于: 2010-06-05 15:50 | 短消息 资料
字号: 10楼

回复:如何判断电脑是否中了鬼影病毒

猫叔

如果感觉异常

怎么处理呢?
Hello! 我来过
gototop
 
<<上一主题|下一主题>>
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT