今年流行病毒方法-----你是否中招了呢

操作方法

（01）鬼影病毒,因為其隱藏性比較好,其編寫思路有可能被未來的病毒編寫者看好,成為今後流行病毒的“潛力股”。    近期流行的那兩個鬼影變種,就其“隱藏性”而言,應該還不算很好。這兩個鬼影病毒居然明目張膽地往用户桌面添加IE快捷圖標;且在系統啟動後,細心的用户還會在windows目錄下發現反覆出現的病毒文件或。個人覺得這還算不上真正的“鬼影”。今後出現的“鬼影病毒”有可能會去掉這些張揚的成分,成為真正的鬼影。    由此便可引出一個普通用户最關心的問題:我怎麼知道自己的電腦是否中了鬼影病毒?或問:中了鬼影病毒後我能看到些啥典型症狀?    鬼影病毒的寄生地位於硬盤主引導扇區的“主引導記錄(Master Boot Record),簡稱:MBR。要看“中毒後的典型症狀”,應查看主引導扇區的內容。主引導扇區位於硬盤的0面0道1扇區。使用不同的工具查看這個扇區,有一個小小的問題需要注意:主引導扇區號可能有差異:用WinHex看到的主引導扇區序號與我們經常説的主引導扇區序號一致(即:0面0道1扇區);但用SectorEditor看到的主引導扇區是0面0道0扇區,而不是我們通常説的“0面0道1扇區”。用SectorEditor看到的0面0道的64個扇區編號為0-63。     查看主引導扇區,對於一般用户來説無異於看天書。其中的內容全部為十六進制數字!     本人也是菜鳥,完全讀不懂那天書般的MBR內容。但這並妨礙我通過查看MBR判斷電腦是否中了鬼影病毒。基本思路就是:先大體上了解一下正常的主引導扇區內容。正常的主引導扇區內容如圖1。圖1中紅色高亮部分就是正常的“主引導記錄”(即:MBR);綠色高亮顯示的是正常的“硬盤分區表”(DPT);灰色高亮顯示的是“扇區結束標誌”。知道了正常MBR是啥樣的,就有了比較標準。通過比較,就不難發現MBR的異常。    中鬼影病毒第二個變種前後的MBR比較見圖2。這個新變種除了改寫MBR外,還改寫了0面0道內的37個扇區!中此病毒前後的0面0道2扇區(SectorEditor標為0面0道1扇區)中此毒前後的0面0道39扇區(SectorEditor標為0面0道26扇區;這個“26”為十六進制數)內容的比較見圖3。此毒改寫的扇區數較多,在此就不一一截圖了。    此外,我曾用SectorEditor查看過不同電腦0面0道各扇區內容,在此大致交待一下,可供中鬼影病毒後判斷與處理主引導扇區及0面0道其它扇區時參考:1、我見過的多數電腦:(1)0面0 道0扇:MBR+DPT(2)0面0道1-61扇:空(內容全部為0)(3)0面0道62-63扇:有內容。不要更改。2、某些品牌電腦:   見過一台DELL品牌機,上述內容除第(1)、(3)部份與多數電腦相同外,第(2)部份中 10號扇區有內容。   另一個例子就是我那個ThinkpadT60p 筆記本。可能是因為其ThinkVantage藍鍵的特殊引導需要,上述第(2)部份中 1-12扇區也有內容。