大麻Marijuana病毒的诊断、激活和解毒程序

大麻病毒(也叫Marijuana病毒,或Stone病毒)是一种恶性的操作系统型病毒,病毒感染磁盘后,篡改了磁盘原有的引导记录,并将原有的引导记录移到磁盘的其它位置上。病毒被激发后,屏幕左上角出现:Your PC is now Stoned!……LEGALISE MARIJU-AHA!,同时响铃。大麻病毒的危害取决于病毒将磁盘原来的引导记录移到磁盘的什么位置上:对软盘来说,病毒将原来的引导记录从0磁道0磁头1扇区移到0磁道1磁头3扇区,常用的1.2M的双面高密度软盘和360K的双面双密度软盘的0磁道1磁头3扇区在磁盘的目录区中,存储在这个扇区中的32个目录项就被破坏了;对硬盘来说,病毒将原来的主引导记录(分区表)从0磁道0磁头1扇区移到0磁道0磁头7扇区,病毒对硬     

一例具有隐形特征的病毒的自动清除

一、概述 操作系统型病毒(Operating System Viruses),又称引导扇区型病毒,因病毒占据磁盘的引导扇区(BOOT扇区)而得名。最近笔者使用的微机不慎感染上一种新的代有隐形特征的操作系统型病毒,该病毒具有较强的传染性,可以很快传染所有未加写保护的软盘。用目前流行的病毒扫描软件KV100、SCAN117、CPAV 2.1版和公安部提供的KILL软件均不能检测并清除该病毒。KV100可以报告有新的引导扇区型病毒,但不能指出是什么病毒。由于该病毒具有操作系统型病毒发展的某些新趋势,故特写此     

引导扇区型病毒的广谱检测算法与实现

本文详细分析了引异扇区型病毒驻留、传染、隐藏和破坏的原理，提出了用引导扇区的特殊规律检测所有引导扇区型病毒的广谱算法，即用引导扇区的特殊串和首指令变化、分区表数据的特殊性和正常引导扇区程序不可能包括的指令来检查引导扇区型病毒的算法。该算法具有可检查已知和未知的所有引导扇区型病毒和混合型病毒的引导扇区部分的特点，大大优于国内外流行的商品软件（如ＳＣＡＮ、ＣＰＡＶ、ＫＶ２００、ＫＩＬＬ等）常用的基于病毒的特征串的检查方法。最后讨论了防治和清除引导扇区型病毒常规方法。     

火炬病毒的机理和诊治

火炬病毒是一种磁盘引导型病毒,病毒全长446个字节。在硬盘上,病毒存储于主引导扇区,重写主引导程序,但保留硬盘分区表;在软盘上,病毒存储于BOOT区,原引导程序被移到1面25道1扇区。火炬病毒的特征字是偏移量为1BCH的两个字节,对这两个字节进行一次异或操作,把结果和A5再进行一次异或操作。如果所得结果为零,那么就是受感染的磁盘,否则就是未感染的磁盘。     

一种基于设备驱动程序的微机防病毒方法

本文在分析计算机病毒特点的基础上，提出了一种病毒预警方法，可以有效地阻止各种（山知或未知）引导扇区型病毒、混合型病毒以及已知的各种文件型病毒侵入微机，具有较高的实用价值。     

神秘的3783病毒

最近,笔者发现了一种新的病毒,用目前常用的KV300、VRVNT、KILL等杀毒软件均不能发现和清除,因其感染EXE和COM文件时,使文件长度增长3783字节,故取名为3783病毒.它是一种两栖型(又称混合型)病毒,它既是系统型病毒,感染硬盘主引导扇区(即0道0头1扇区)和软盘的逻辑0扇区,又是文件型病毒,专门感染EXE文件和COM文件.3783病毒的神秘之处在于以下几点:其一,3783病毒感染硬盘和软盘时,病毒的首语句是JMP 013E(EB 3C),特别是软盘的逻辑0扇区,DOS 5.0以上版本的引导程序的首语     

如何读取隐藏扇区

本文通过磁盘Ｉ／Ｏ参数表，讨论了磁盘内引导记录扇区与保留扇区、隐藏扇区的关系；并分析硬盘的布局，提出读取硬盘中隐藏扇区（含主引导用区）的方法，附注源程序．     

MASK假面具病毒的诊治

该病毒感染硬盘0面0柱1扇区,将原主引导记录和硬盘分区表移到硬盘0面0柱8扇区。病毒感染软盘0面0道1扇区,将原DOS引导记录移到软盘1面0道3扇区。用无病毒DOS系统软盘引导机器后,再用查解病毒软件CPAV1375和国产KILL62均查不出有病毒,用国产广谱查病毒程序KV20检查,告知是一种“普通的引导区新病毒!”。但是,患毒机器起动后,查看内存的中断向量表,没有被病毒修改。用著名NORTON软件和8.0版PCTOOLS的DE软件以及查病毒软件去查看硬盘主引导记录和软盘DOS引导记录,都十分正确,这就奇怪了,病毒藏到哪儿去了呢?经跟踪病毒程序分析,原来是病毒控制了INT13H,当我们要查看硬盘0面0柱1扇区的主引导记     

“格式化”病毒的检测和消除

最近,在本校的机房中出现了一种以前未见过的病毒,这种病毒的传染性和破坏性都较强,如果达到一定的条件,它会对硬盘实施格式化,所以笔者称之为″格式化″病毒。这种病毒的出现已经给我校微机房带来了不小的破坏。笔者通过对此病毒的深入分析,采取了一些有效的措施,控制了它的传播和破坏。 一、病毒的特征,传播和引导 1.特征:该病毒用KV200检查时,提示在硬盘主引导区中有病毒但并未给出明确的名称,可见是一种不常见的病毒。这种病毒占据硬盘的主引导扇区0头0柱面1扇区,或软盘的DOS引导扇区,而把原软盘的DOS引导扇区放在1面79道18扇区中。它的主要标志是距病毒程序首部03AH中的字节DC,而病毒     

利用虚拟机VMware进行动态磁盘数据恢复的探讨

在系统之间移动动态磁盘,磁盘的首扇区、DBR等容易损坏,在“磁盘管理”管理单元中显示为“Dynamic Unreadable”（无法动态读取）。本文探讨了利用虚拟机VMware还原动态磁盘损坏扇区进行数据恢复的方法。     

利用微机磁盘划分结构恢复主引导扇区

近几年来，经常迂到由于病毒的发作破坏了主引导扇区另致计算机不能引导启动的情况。从一些杂志介绍这类问题的解决方法上看，一是将过去备份的主引导扇区用中断INT13H写回硬盘；二是找一台同机型、同磁盘类型的好机器，用INT13H将好机器上的主引导扇区通过软盘写到坏机器的主引导扇区位置上。但是，这两种方法存在着问题，一是备份主导扇区的软盘可能被损坏，二是在周围找不到同类的机器，即使找到了，而磁盘分区可能不相同，仍然无法进行恢复。于是，就提出一个问题：在没有外界条件下，能否利用被破坏的计算机本身磁盘结构特征来推导…     

编程清除硬盘主引导扇区病毒

众所周知，硬盘主引导扇区是一个举足轻重的要害部位，因而也就成了当今世界各种引导型病毒的主要攻击对象。通常可以采取备份生引导扇区并及时恢复的措施，但对于未能及时备份的情况，就只能带毒提取分区表并和正确的引导程序结合后，重新写人硬盘生引导扇区。为此，笔者特意编制了一个程序（WBOOT．COM）。其中，引导程序采用MS－DOS6．0分区建立（FDISK．COM），当然也可以采用DOS3．3以上任何版本建立的正常主引导程序。程序采用汇编语言和COM格式，需编译、连接并转成．COM文件方可执行。引导程序部分的内容必须正确。为防…     

磁盘BPB表的结构及使用

磁盘的BPB表也称为I／O参数表，此表中记录着特定磁盘的具体物理特性，如磁盘的总扇区数、磁头数等，它是DOS系统读写磁盘的依据。用FORMATS命令对磁盘格式化时，就在DOS系统引导区中建立了相应的BPB表，此表位于DOS系统引导区的OBH字节偏移处，长度为19个字节，具体结构及含义如下表：0－1字节：每角区字节数；2字节：每簇扇区数；3—4字节：保留扇区数；5字节：FAT表数目；6－7字节根目录登记项数；8－9字节：总扇区数；OAH字节：磁盘标志；OB－OCH字节：每个FAT占扇区；OD－OEH字节：每道扇区数；OF－10H字节：磁头…     

计算机病毒(2)

计算机病毒可按照其感染系统的方式进行分类: 文件感染病毒:文件感染病毒将病毒代码加到可运行的程序文件中,因此这种病毒在运行程序时即被激活。当这种病毒被激活时,它就传播给其它程序文件。 引导扇区病毒:引导扇区是硬盘的一部分,当开机时它便控制操作系统如何动作。引导扇区病毒用它自己的数据来代替硬盘的原始引导扇区,并将病毒装入内存,病毒一旦进入内存,就可以传播给其它磁盘。     

NICE DAY病毒的特点与杀除

最近,笔者在系机房发现了一种新的系统型病毒,用KILL68和CPAV都查不出.此病毒编得相当简洁,整个病毒的有效代码不足450字节.通过分析病毒程序发现此病毒只对A驱动器内的磁盘和硬盘C进行感染,每月的一号当病毒调用INT13H读写有错或用染毒硬盘引导或感染完硬盘,病毒即发作.病毒发作时在屏幕缓冲区第二页B800:3CH处填写“HAVE A NICE DAY(c)YMP”,故笔者给它命名为NICE DAY VIRUS.若用带毒的磁盘引导系统,病毒修改0:413H单元的值将内存减少两K,并将病毒体移至高端(对于640K机器)9F80:0H处开始存放,修改INT 13H向量指向9F80:0DH,原INT 13H的向量存放于病毒体偏移9H处,病毒的INT 13H主要工作是处理感染A驱软盘和发     

赛门铁克安全公告：Trojan.Mebratix曝新变种

Trojan.Mebratix家族是一个比较少见的、会侵入计算机磁盘引导区（Master Boot Record,MBR）的感染型病毒,危害性强且技术含量高。自2010年3月该病毒被首次曝光后,     

FORMAT.COM源程序分析及其在软硬盘自动修复和反系统病毒技术中的应用

在微机日常使用过程中,引导盘的引导信息(BOOT区,IBMBIO,IBMD OS,COMMAND.COM)经常由于意外和病毒原因造成损害,对于前一种,特别是硬盘BOOT区破坏时,由于其中BPB因磁盘类型和dos版本不同而不同,很难简单恢复,解决这种问题的方法通常是重新格式化,通过这种方法虽然能够恢复系统信息,但是磁盘中用户信息将遭破坏,为此事先要做大量备份工作,而且耗费较长时间。本文以DOS 3.3 FORMAT.CDM程序为例,对其进行分析,只需简单修改就能使其只生成磁盘引导信息,而不会改变磁盘用户信息,若引导信息改变是由系统型病毒引起,通过这种方法则能达到覆盖病毒,恢复系统的目的,而不必考虑系统型病毒的内在细节。     

计算机病毒的原理及预防

本文分析了常见引导类计算机病毒的基本原理,总结出它们的共同特点.根据该类病毒的共同特点——占据磁盘引导扇区,并把原引导扇区中的引导块程序转移到一空闲扇区.在正常的引导块中加上判别语句,判断引导扇区是否被病毒占据,可以达到发现并消除该类病毒的目的.最后给出了微型计算机硬盘的引导扇区病毒免疫程序,以供参考.     

噪声病毒的检测与清除

一、概 述 最近作者所在单位机房运行MS DOS操作系统的PC系统上感染并流行一种新的操作系统型病毒,该病毒在硬盘上占据硬盘的0面0柱1扇区,即硬盘分区表所存放的扇区,在软盘上则占据软盘的0面0道1扇区。根据笔者对该未知的操作系统型病毒的分析,发现它是CMOS病毒的变种。由于在病毒程序中有字符串“I am Li Xibin！”,故可知它是国内某人修改CMOS病毒后形成的新病毒。笔者使用的微机不慎感染上病毒,并很快传染所有未加写保护的软盘。因没有可清除该病毒的软件,笔者对病毒程序进行了剖析,现给出检测与清除该病毒的办法并公之于众。由于该病毒在发作     

新病毒分析及其对抗技术

新病毒捕获与取样1．采集新病毒样本所谓采集样本，就是取得所要解剖、分析的病毒代码。下面介绍几种取样的方法。（1）磁盘文件抄录法：从含有病毒的磁盘或文件中直接将“静态”病毒拷贝出来，这是最安全又最直接的方法之一。但解剖、分权时，需对病毒的藏身方式有一定了解。（2）系统内存抄录法：依照上期介绍的“中断向量检查法”，查出病毒的中断向量。将该中断向量所指向的内存中该段地址的内容全部或部分抄录到指定的文件中。该方法是取得病毒“动态”的样本，使用DEBUG工具就可办到，但涉及的技巧颇为复杂，要求使用者对系统内存管…