回复: 又一个改写MBR的病毒(TDSS TDL4)
原帖由 奇缘の随风 于 2011-2-24 8:22:00 发表
如何知道从哪里到哪里被改写?
导入导出功能 可以当成备份么?
第一个问题:
正常情况下,硬盘尾部的数百个扇区为空(否则你的硬盘就已经爆满了)。因而,正常情况下,用sectorediter查看硬盘尾部扇区,应该都是空的(扇区内的数字均为0)。
具体操作:
1、打开sectorediter, 点击下图红箭头所指之处,即刻翻到硬盘的最后一个扇区。
2、这时,逐次点击下图蓝箭头所指之处,依次向前逐个扇区浏览。如此逆向浏览到第一个空扇区,即可确定病毒代码占用的硬盘尾部的扇区总数。
注意:中了这个TDSS TDL4变种后,应用WINPE U盘引导系统到WINPE, 在WINPE环境下实施上述操作,才能看到真实内容。在中毒的WINDOWS环境下,你看到的都是正常的内容(因为病毒在搞鬼)。
第二个问题:导出的扇区数据存贮为.bin,可以做为备份。必要时,可以导入。
