文档介绍:计算机病毒原理�及防治
第4章清除计算机病毒的基本技术
清除计算机病毒的一般性原则
清除引导型病毒的基本技术
清除文件型病毒的基本技术
清除混合型病毒的基本技术
清除脚本病毒、邮件病毒的基本技术
清除计算机病毒的一般性原则
无毒环境
杀毒盘写保护
准确判断病毒的种类
尽量不用激活病毒的方法检测病毒和病毒标识免疫方法清除病毒
杀毒工作要深入而全面
交叉感染或重复感染的,要按感染的逆顺序从后向前依次清除
清除计算机病毒的步骤流程:
清除病毒开始
↓
用写保护的原始系统盘启动
↓
用工具软件和扫描程序检测病毒
↓
分析病毒,确定病毒的种类、感染病毒的部位和感染方法
↓
确定具体的清除措施
↓
运行清除病毒程序或手动清除
↓
资源回收、整理
↓
结束
清除引导型病毒的基本技术
引导型计算机病毒主要是感染磁盘的引导扇区。我们在使用被感染的磁盘(无论是软盘还是硬盘)启动计算机时它们就会首先取得系统控制权,驻留内存之后再引导系统,并伺机传染其他软盘或硬盘的引导区。纯粹的引导型计算机病毒一般不对磁盘文件进行感染。
1. 采用不格式化磁盘的方法
与引导型病毒有关的扇区:
①硬盘主引导扇区,是硬盘物理第一扇区,即 0柱面、0头、1扇区。
②硬盘活动分区的引导扇区,是硬盘活动分区的第一个扇区,即0柱面、1头、1扇区。
所以,用无病毒的DOS引导软盘启动计算机,运行下面的命令就可以达到清除引导型病毒的目的。
(A)“FDISK /MBR”用于重写一个无毒的 MBR;
(B)“FDISK”用于读取或重写 Partition Table;
(C)“FORMAT C: /S”或“SYS C:”会重写一个无毒的“活动分区的引导记录”。
手动恢复示意图
例:“小球”病毒的分析和清除
“小球”病毒又叫做“圆点”病毒、“乒乓”病毒、“弹球”病毒,是我国最早发现的一种计算机病毒,属于操作系统型的良性病毒。
“小球”病毒的病毒程序大约为1K字节,占用软盘的两个扇区,分两个部分存放于磁盘上,第一部分占用了磁盘的引导扇区,第二部分则占用了磁盘上另外一个空闲簇。由于一个簇为两个扇区,所以在该簇中,病毒程序只占用了第一个扇区,另外一个扇区则存放的是原来真正的磁盘引导记录。
病毒程序在传染成功以后,即将文件分配表中病毒程序第二部分所占的空闲簇登记项的内容修改为FF7H,以示为坏簇,防止其他程序使用该簇。对于被感染的不同的磁盘来说,病毒程序第二部分所占的空闲簇位置一般来说是不同的,病毒程序两部分之间为了取得联系,特将第二部分所在簇的第一扇区的逻辑扇区号,存放在第一部分所在扇区(逻辑0扇区)的偏移地址0lF9:01FAH中。
“小球”病毒的病毒程序从逻辑结构上可以被划分为3个模块,即引导模块、传染模块和表现模块。
一个被感染“小球”病毒的磁盘,一般有下面三个主要特征:
磁盘引导扇区的开头指令代码为“EB lC”,对应的指令为“JMP 011E”;
磁盘引导扇区的结尾有字符串“57 13 55 AA”;
用PCTOOLS的M命令显示磁盘映像时,发现原来正常的磁盘扇区被标为坏扇区。
清除“小球”病毒的方法主要分为两步进行:
第一步:恢复磁盘引导扇区的原始内容;
第二步:收回病毒程序第二部分所占的簇。
下面我们就如何使用DEBUG程序清除“小球”病毒进行具体的说明。
(1)用无毒的系统盘启动系统。
(2)恢复磁盘引导扇区的原始内容,步骤如下。
①将带毒盘插入A驱动器,并运行DEBUG程序
C>DEBUG
②将磁盘逻辑0扇区的内容调入内存
-L100 0 0 1
③查看病毒程序第二部分所在的逻辑扇区号
-D 02F9 02FA
xxxx:02F9 1C00 ;该值因磁盘而异
④将磁盘原始引导扇区的内容读入内存
-L l00 0 1D 1 ;1DH=1CH+1
⑤将原始引导记录写入逻辑0扇区
-Wl00 0 0 1