如何及时发现MBR被篡改
这些日子又陆续接到站内短消息,还是问我老问题————那个MBRGUARD的解压密码。晕死。那么老的帖子了,居然还有人看!
今天在这里一并回复吧:不管啥MBRGUARD,在TDSS TDL4面前都是“浮云”!我早就不用MBRGUARD了。
关心MBRGUARD那个帖子的朋友,大概都看了关于TDSS TDL4的介绍。于是就想用MBRGUARD防护。现在不行啦!MBRGUARD防不住TDSS TDL4。
对熟悉手杀的朋友来说,TDSS TDL4中毒后的手工杀毒已经不是问题。在PE环境下很容易搞掂。TDSS TDL4 之所以牛,主要在于:中招后没有明显的中毒症状。除非用TDSSKILLER之类的专杀,或者用WINPE 引导到 PE 下查看MBR是否异常。中此类病毒后,在WINDOWS环境下,查看MBR,根本就看不到异常。问题来了:平时,大概谁也不会时不时的运行TDSSKILLER,也不会闲得那啥疼,常常跑到PE下去看MBR。
那岂不是等于说:TDSS TDL4 真的就牛到无法及时发现的地步了?
这就引出一个问题:用户如何及时发现MBR被篡改?
办法是有的。
用此办法,只要你注意开机引导界面,无论是不是TDSS TDL4,只要是中了引导区病毒,都可及时发现。
啥办法?请Acronis True Image帮忙!
Acronis True Image是啥?哪里有下载?咋用?这些问题请您自己动手google一下。这里不解释这些。
安装Acronis True Image后,按下面三个图示操作,就相当于给您的电脑装上了一只“眼睛”,专门盯着引导区病毒。
(图1-图3)
执行上述三图所示的操作后,以后每次开机引导系统时,您均可看到这样的引导信息(图4):
一旦中了引导区病毒,MBR被病毒篡改,开机系统引导时,Acronis True Image 的 loader就不可能加载了, 上面那屏引导信息就再也看不到了。这时,麻利儿的自己动手,到PE下去重置MBR、删除病毒文件吧。
用户系统信息:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)