第34章分析病毒(第1/3 页)

第34章 分析病毒</p>

对硬盘主引导记录的分析结果显示，硬盘的主引导记录已经被病毒篡改了，肖远仔细分析了主引导记录的分析报告，加上自己经验进行推测，基本上搞明白了这个病毒的工作原理：</p>

主引导记录中内置了一段判断程序，这段判断程序会首先探测计算机的网络端口是否开放，如果开放的话，他会将自身以广播的形式向网络上发散，如果没有开放，那么他将不会主动进行网络传播，转入下一流程，对硬盘进行检测，判断硬盘是否被CIH病毒所感染，如果被感染了，他就会把自己隐藏起来，没有任何动作。</p>

如果判断程序发现系统没有被感染，那么，它会将在硬盘末尾一块很小的隐藏分区中存储的CIH病毒原体，拷贝到系统文件夹中，并设置为随系统自动启动，做完这一切后，它又会把自己隐藏起来，系统在启动时，CIH病毒随之运行，对系统文件进行感染，接下来对系统的破坏工作，就交给CIH病毒进行了。</p>

这个判断完全是建立在硬盘中有完整的Windows系统的情况下进行的，如果它发现系统中没有操作系统，也就是说硬盘可能被格式化了，那么这个判断程序就会运行一段和CIH病毒存储在同一隐雪区域的另一个程序，这个程序肖远根据先前的情况推断，应该就是那个游戏程序。</p>

从逻辑上来说，这段判断程序的工作原理并不是特别复杂，所以，肖远很容易就做出了上面的那些推断。</p>

退出了硬盘分析程序，肖远又运行了一款磁盘分区管理软件，这款软件比系统自带的那个fdisk要强大一些，能够探查出那些fdisk无法发现的隐藏分区，运行后，软件给出了一个磁盘系统分区表清单，果然，在最后有一个只有一兆的隐藏分区，CIH病毒原体和先前他们玩的那个字母游戏程序就隐藏在这里。</p>

这时，肖远突然想到，刚才唐新宇对磁盘进行分区，用的是系统内置的分区命令fdisk，那么，他对那些硬盘分完区后，这个小隐藏分区应该没有被破坏掉，不过一来因为这个分区是隐藏的，二来，这个分区内存储的病毒需要主引导记录的程序提取才能运行，那些学生机的电脑上，即使还留着这个分区，里面的病毒也变成了死物，没有了发作机会而已。</p>

为了验证自己的想法，肖远拿了一块还没有装到计算机上的学生机硬盘检测了一下，果然，唐新宇重新分区后，只是把主引导记录中的那个判断程序给破坏掉了，磁盘末尾的那个隐藏分区还在，肖远顺手把这个分区给删除了，里面的病毒也随之被彻底销毁。</p>

唐新宇还在继续干着他的活，但是也在密切注意着肖远这边，他看到肖远拿起了他分过区的一块硬盘装到电脑上，又进行了一番操作，于是趁着ghost克隆等待的时间，凑了过来。</p>

“病毒还没有杀掉？”</p>

“嗯，还有一点残留……”</p>

肖远把刚才的分析结果给唐新宇说了一遍，然后让唐新宇在硬盘克隆的空闲时，把所有硬盘最后的那个隐藏分区给删除掉，而他自己则把那个隐藏分区中的CIH病毒原体给拷贝了出来，因为他做这一切都是在DOS下进行的，而CIH病毒感染不了DOS，所以他并不担心这一举动会有什么危险。</p>

拷贝出来后，他将这个病毒进行了反汇编，然后开始研究这个病毒的汇编代码，看看它究竟是怎么绕过自己设置的CIH病毒免疫补丁的，研究了一会儿，突然笑着感叹了一句：“原来是这么回事，真野蛮啊！”</p>