3个回答
展开全部
鬼影病毒的特征
1、鬼影病毒母体运行后,会释放两个驱动到用户电脑中,并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式,尝试修改IE属性。
分析:病毒传播者这样做的目的可能是为了转移安全厂商的目标,便于病毒的真正母体隐藏得更好。
2、a驱动会修改系统的主引导记录(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
分析:由于WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这种绕过Winxp的安全限制,直接改写MBR的技术一般称之为MBR-rootkit。
3、病毒母体自删除。
4、重启系统后,主引导记录(MBR)中的恶意代码会监控整个windows启动过程,发现系统加载ntldr文件时,插入恶意代码,使其加载b驱动。
分析:将病毒代码插入到ntldr文件中,解决自身代码在WINDOWS下的加载问题,比写个中断服务程序要简便。该思路也为真正的BIOS病毒提供了一个非常好的实现方法。
5、b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。
6、b驱动会下载av终结者到电脑中,并运行。
7、下载的av终结者病毒会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。
8、该病毒只针对Winxp系统,尚不能破坏Vista和Win7系统。
鬼影病毒的防范
最重要的是做好MBR的备份,以备不时之需。
鬼影病毒的清除
鬼影病毒采用的是MBR-rootkit,这在DOS时代就已有了,只是近年来很少出现。清除方法就是修复MBR,有以下几种方法:
方法1、MBR有做过备份的,直接还原MBR备份即可;
方法2、MBR没做过备份的,用XP系统安装盘进入故障恢复控制台,在命令提示符下输入Fixmbr,然后系统提示是否更新MBR主引导记录,选择是,并且再输入Fixboot,修复boot区引导即可;
方法3、DOS引导盘启动,运行磁盘分区命令 fdisk /mbr 重建MBR代码;
注意:有些病毒可能会使得分区表和指针出现偏移,此时使用fdisk /mbr命令,指向分区表的指针会丢失,这样的结果是,引导能力丢失,无法启动系统。
方法4、用 DEBUG程序来运行以下代码,将MRB清零,再重新分区
a
MOV AX,0301
MOV BX,1000
MOV CX,1
MOV DX,80
INT 13
INT 3
-
F 1000 FFFF 0
-
G
-
Q
修复MBR后,记得进行杀毒。目前,金山毒霸可查杀传播“鬼影”病毒的母体文件,金山网盾也已将传播该病毒的恶意URL加入阻止访问的列表。
金山毒霸鬼影专杀
相关知识普及
MBR(Master Boot Record)
中文意为主引导记录。电脑通电开机,主板自检完成后,被第一个读取到的位置。位于硬盘的0磁头0磁道1扇区,它的大小是512字节,不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取。DOS时代泛滥成灾的引导区病毒多寄生于此。
电脑系统开机过程
开机通电自检-->主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动-->系统BIOS将主引导记录(MBR)读入内存-->控制权交给主引导程序-->检查分区表状态,寻找活动的分区-->主引导程序将控制权交给活动分区的引导记录,由引导记录加载操作系统启动文件。
为了您的安全,请只打开来源可靠的网址
打开网站 取消
来自: http://hi.baidu.com/jefferson108/blog/item/cdf9b811b8feb472cb80c460.html
1、鬼影病毒母体运行后,会释放两个驱动到用户电脑中,并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式,尝试修改IE属性。
分析:病毒传播者这样做的目的可能是为了转移安全厂商的目标,便于病毒的真正母体隐藏得更好。
2、a驱动会修改系统的主引导记录(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
分析:由于WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这种绕过Winxp的安全限制,直接改写MBR的技术一般称之为MBR-rootkit。
3、病毒母体自删除。
4、重启系统后,主引导记录(MBR)中的恶意代码会监控整个windows启动过程,发现系统加载ntldr文件时,插入恶意代码,使其加载b驱动。
分析:将病毒代码插入到ntldr文件中,解决自身代码在WINDOWS下的加载问题,比写个中断服务程序要简便。该思路也为真正的BIOS病毒提供了一个非常好的实现方法。
5、b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。
6、b驱动会下载av终结者到电脑中,并运行。
7、下载的av终结者病毒会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。
8、该病毒只针对Winxp系统,尚不能破坏Vista和Win7系统。
鬼影病毒的防范
最重要的是做好MBR的备份,以备不时之需。
鬼影病毒的清除
鬼影病毒采用的是MBR-rootkit,这在DOS时代就已有了,只是近年来很少出现。清除方法就是修复MBR,有以下几种方法:
方法1、MBR有做过备份的,直接还原MBR备份即可;
方法2、MBR没做过备份的,用XP系统安装盘进入故障恢复控制台,在命令提示符下输入Fixmbr,然后系统提示是否更新MBR主引导记录,选择是,并且再输入Fixboot,修复boot区引导即可;
方法3、DOS引导盘启动,运行磁盘分区命令 fdisk /mbr 重建MBR代码;
注意:有些病毒可能会使得分区表和指针出现偏移,此时使用fdisk /mbr命令,指向分区表的指针会丢失,这样的结果是,引导能力丢失,无法启动系统。
方法4、用 DEBUG程序来运行以下代码,将MRB清零,再重新分区
a
MOV AX,0301
MOV BX,1000
MOV CX,1
MOV DX,80
INT 13
INT 3
-
F 1000 FFFF 0
-
G
-
Q
修复MBR后,记得进行杀毒。目前,金山毒霸可查杀传播“鬼影”病毒的母体文件,金山网盾也已将传播该病毒的恶意URL加入阻止访问的列表。
金山毒霸鬼影专杀
相关知识普及
MBR(Master Boot Record)
中文意为主引导记录。电脑通电开机,主板自检完成后,被第一个读取到的位置。位于硬盘的0磁头0磁道1扇区,它的大小是512字节,不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取。DOS时代泛滥成灾的引导区病毒多寄生于此。
电脑系统开机过程
开机通电自检-->主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动-->系统BIOS将主引导记录(MBR)读入内存-->控制权交给主引导程序-->检查分区表状态,寻找活动的分区-->主引导程序将控制权交给活动分区的引导记录,由引导记录加载操作系统启动文件。
为了您的安全,请只打开来源可靠的网址
打开网站 取消
来自: http://hi.baidu.com/jefferson108/blog/item/cdf9b811b8feb472cb80c460.html
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
找启动光盘,最好是能进DOS系统的,进入后使用命令
fdisk /mbr
重写MBR就行了。
fdisk /mbr
重写MBR就行了。
本回答被网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(1)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
|
广告 您可能关注的内容 |
