对硬盘主引导记录的分析结果显示,硬盘的主引导记录已经被病毒篡改了,肖远仔细分析了主引导记录的分析报告,加上自己经验进行推测,基本上搞明白了这个病毒的工作原理:
主引导记录中内置了一段判断程序,这段判断程序会首先探测计算机的网络端口是否开放,如果开放的话,他会将自身以广播的形式向网络上发散,如果没有开放,那么他将不会主动进行网络传播,转入下一流程,对硬盘进行检测,判断硬盘是否被CIH病毒所感染,如果被感染了,他就会把自己隐藏起来,没有任何动作。
如果判断程序发现系统没有被感染,那么,它会将在硬盘末尾一块很小的隐藏分区中存储的CIH病毒原体,拷贝到系统文件夹中,并设置为随系统自动启动,做完这一切后,它又会把自己隐藏起来,系统在启动时,CIH病毒随之运行,对系统文件进行感染,接下来对系统的破坏工作,就交给CIH病毒进行了。
这个判断完全是建立在硬盘中有完整的Windows系统的情况下进行的,如果它发现系统中没有操作系统,也就是说硬盘可能被格式化了,那么这个判断程序就会运行一段和CIH病毒存储在同一隐藏区域的另一个程序,这个程序肖远根据先前的情况推断,应该就是那个游戏程序。
从逻辑上来说,这段判断程序的工作原理并不是特别复杂,所以,肖远很容易就做出了上面的那些推断。
退出了硬盘分析程序,肖远又运行了一款磁盘分区管理软件,这款软件比系统自带的那个fdisk要强大一些,能够探查出那些fdisk无法发现的隐藏分区,运行后,软件给出了一个磁盘系统分区表清单,果然,在最后有一个只有一兆的隐藏分区,CIH病毒原体和先前他们玩的那个字母游戏程序就隐藏在这里。
这时,肖远突然想到,刚才唐新宇对磁盘进行分区,用的是系统内置的分区命令fdisk,那么,他对那些硬盘分完区后,这个小隐藏分区应该没有被破坏掉,不过一来因为这个分区是隐藏的,二来,这个分区内存储的病毒需要主引导记录的程序提取才能运行,那些学生机的电脑上,即使还留着这个分区,里面的病毒也变成了死物,没有了发作机会而已。
为了验证自己的想法,肖远拿了一块还没有装到计算机上的学生机硬盘检测了一下,果然,唐新宇重新分区后,只是把主引导记录中的那个判断程序给破坏掉了,磁盘末尾的那个隐藏分区还在,肖远顺手把这个分区给删除了,里面的病毒也随之被彻底销毁
本章未完,请点击下一页继续阅读!