第034章 分析病毒第二更(第1页)
对硬盘主引导记录的分析结果显示,硬盘的主引导记录已经被病毒篡改了,肖远仔细分析了主引导记录的分析报告,加上自己经验进行推测,基本上搞明白了这个病毒的工作原理:
主引导记录中内置了一段判断程序,这段判断程序会首先探测计算机的网络端口是否开放,如果开放的话,他会将自身以广播的形式向网络上发散,如果没有开放,那么他将不会主动进行网络传播,转入下一流程,对硬盘进行检测,判断硬盘是否被cih病毒所感染,如果被感染了,他就会把自己隐藏起来,没有任何动作。
如果判断程序发现系统没有被感染,那么,它会将在硬盘末尾一块很小的隐藏分区中存储的cih病毒原体,拷贝到系统文件夹中,并设置为随系统自动启动,做完这一切后,它又会把自己隐藏起来,系统在启动时,cih病毒随之运行,对系统文件进行感染,接下来对系统的破坏工作,就交给cih病毒进行了。
这个判断完全是建立在硬盘中有完整的windows系统的情况下进行的,如果它发现系统中没有操作系统,也就是说硬盘可能被格式化了,那么这个判断程序就会运行一段和cih病毒存储在同一隐藏区域的另一个程序,这个程序肖远根据先前的情况推断,应该就是那个游戏程序。
从逻辑上来说,这段判断程序的工作原理并不是特别复杂,所以,肖远很容易就做出了上面的那些推断。
退出了硬盘分析程序,肖远又运行了一款磁盘分区管理软件,这款软件比系统自带的那个fdisk要强大一些,能够探查出那些fdisk无法发现的隐藏分区,运行后,软件给出了一个磁盘系统分区表清单,果然,在最后有一个只有一兆的隐藏分区,cih病毒原体和先前他们玩的那个字母游戏程序就隐藏在这里。
这时,肖远突然想到,刚才唐新宇对磁盘进行分区,用的是系统内置的分区命令fdisk,那么,他对那些硬盘分完区后,这个小隐藏分区应该没有被破坏掉,不过一来因为这个分区是隐藏的,二来,这个分区内存储的病毒需要主引导记录的程序提取才能运行,那些学生机的电脑上,即使还留着这个分区,里面的病毒也变成了死物,没有了发作机会而已。
为了验证自己的想法,肖远拿了一块还没有装到计算机上的学生机硬盘检测了一下,果然,唐新宇重新分区后,只是把主引导记录中的那个判断程序给破坏掉了,磁盘末尾的那个隐藏分区还在,肖远顺手把这个分区给删除了,里面的病毒也随之被彻底销毁。
唐新宇还在继续干着他的活,但是也在密切注意着肖远这边,他看到肖远拿起了他分过区的一块硬盘装到电脑上,又进行了一番操作,于是趁着ghost克隆等待的时间,凑了过来。
“病毒还没有杀掉?”
“嗯,还有一点残留……”
肖远把刚才的分析结果给唐新宇说了一遍,然后让唐新宇在硬盘克隆的空闲时,把所有硬盘最后的那个隐藏分区给删除掉,而他自己则把那个隐藏分区中的cih病毒原体给拷贝了出来,因为他做这一切都是在dos下进行的,而cih病毒感染不了dos,所以他并不担心这一举动会有什么危险。
拷贝出来后,他将这个病毒进行了反汇编,然后开始研究这个病毒的汇编代码,看看它究竟是怎么绕过自己设置的cih病毒免疫补丁的,研究了一会儿,突然笑着感叹了一句:“原来是这么回事,真野蛮啊!”
原版的cih病毒在感染计算机之前,会检测机器是不是被感染过了,如果感染过了,病毒就不会重新进行感染,而肖远设置的免疫补丁就是利用了这一点,在系统中伪造出一种被病毒感染的假象,从而达到骗过这个病毒的目的,但是这个被改造过的病毒却是采用了一种很野蛮,但有效的方式,不管计算机有没有感染,它都会重新感染一遍,这样,肖远设置的补丁自然就没有了作用。
肖远继续分析病毒代码,发现病毒的发作时间被设置成了每周四上午十点半,而不是原来的4月26号,6月26号以及每月的26号,这才导致今天上午机房的机器病毒大爆发。
除了上面的这些改动外,这个病毒和原版的cih病毒并没有什么区别,所以肖远在弄清楚它的工作原理后,就把它删掉了。
这时候,唐新宇已经把所有学生机的系统都装好了,最后的以藏分区也被他删掉了,他闲下来后,也围了过来,拉了把椅子坐到了肖远的身边看他在不停地忙碌。
肖远看到唐新宇过来,就把他分析得到的结论向唐新宇介绍了起来,却不想招来了坐在另一侧的唐飒的不满。
“咯咯,弟弟你好偏心哦,姐姐在你身边坐了这么久,也不见你向姐姐解释一下。”
“你本身就是搞这个的,还用我给你解释?”
肖远没有看她,直接反驳了一句,刚才唐飒一直坐在他身边很安静,以至于他在专心分析病毒代码的时候,竟有一段时间忘记了她的存在,这种情况让他现在想起来,有些意外,但是因为担心她借题发挥骚扰自己,还是不敢给她好语气。
“姐姐是老板耶,懂不懂这些有关系吗?”
请关闭浏览器阅读模式后查看本章节,否则将出现无法翻页或章节内容丢失等现象。
![毒医转职当影帝[古穿今]](/img/15935.jpg)