计算机病毒的特征_计算机病毒的预防措施_计算机病毒的危害包含4个方面(24)

必须从软盘引导时，应该确认该软盘无毒。 1 修复感染的软盘 如果要修复可能感染的可引导磁盘，找一个具有同样DOS版本的未感染的计算机，把软盘插入软驱中并给出SYS A：命令。这会在软盘上重新安装相关的DOS系统文件，并且覆盖引导记录中原来的自举内容。这样病毒的自举例程就会被覆盖。修复标准软盘，把这块感染的软盘放到一个未感染的机器中，把所有文件从软盘复制到硬盘的临时目录中。用DOS命令“FORMAT A：/U”无条件重新格式化软盘，会重新写入软盘引导记录，从而清除病毒自举例程。然后把所有文件备份复制回软盘。 2 修复感染的主引导记录 许多用户认为重新格式化硬盘会从硬盘清除大多数引导记录病毒。尽管重新格式化会清除分区引导记录病毒，但是却不能破坏主引导记录病毒。修复感染的主引导记录最有效的途径是使用FDISK工具。输入FDISK/MBR，这样会重新写入主引导记录自举例程，并且覆盖病毒自举例程。 3 利用反病毒软件修复 大多数反病毒程序使用自己的病毒扫描器组件检测并修复软引导记录、主引导记录和分区引导记录。一旦反病毒程序知道了感染的准确性质，包括病毒的类型，它就能够定位病毒存放的原来的MBR，主引导记录或分区引导记录，并且覆盖感染的引导记录。

因为大多数病毒总是在同样的位置存放引导记录。当要修复软盘感染或主引导记录感染时，反病毒程序也可以使用其他技术。如果反病毒程序找不到其他引导记录，它就用一种特殊的类属例程在感染的引导记录中覆盖病毒自举例程。对于主引导记录病毒，反病毒程序会用一个简单的代替例程覆盖病毒自举程序。这种代替像FDISK插入的标准加载自举例程的方式一样工作;对于这种类型的修复工作，硬盘的分区表必须完整不动，因为反病毒程序只会代替主引导记录中的自举部分。 2. 防止和修复可执行文件病毒 即使有经验的用户也会认为修复文件病毒感染很困难。修复感染的程序文件最有效的途径是用未感染的备份拷贝代替它。 如果得不到备份，就使用反病毒修复感染的可执行程序。反病毒程序一般使用它们的病毒扫描器组件检测并修复感染的程序文件。如果文件被非覆盖型病毒感染，那么这个程序很可能会被修复。 当非覆盖型病毒感染可执行文件时，它必须存放有关宿主程序的特定信息。这些信息用于在病毒执行完之后执行原来的程序。如果病毒中有这一信息，反病毒程序就可以定位它，如果需要的话还要进行解密，然后把它复制回宿主文件相应的部分。最后，反病毒程序可以从文件中“切掉”病毒。

4.7 典型病毒介绍 4.7.1 CIH病毒 1. CIH病毒分析 CIH病毒是迄今为止发现的最阴险的病毒之一。它发作时不仅破坏硬盘的引导区和分区表，而且破坏计算机系统flash BIOS芯片中的系统程序，导致主板损坏。CIH病毒是发现的首例直接破坏计算机系统硬件的病毒。该病毒的特点是只感染32位的Windows 95/98可执行文件，对于DOS下Windows 3.x以及NT下的文件不影响，因为CIH病毒使用的是VXD技术，而且被CIH病毒感染了的文件长度不会改变，所以很难发现。当一个感染了该病毒的程序运行时，病毒就可以进入内存并驻留。 CIH病毒感染文件的方法是：当它在内存中发现有新的可执行文件在运行时，就去检查该文件中是否包含某一特定的字符串，如果没有找到就开始感染。它感染时首先检测文件的头部，当发现至少有184个字节的空间时，就将本身的引导信息写入此空间，病毒中所含的其余代码部分则分别写入文件内部的空闲区域，所以感染后的文件不会增加长度。CIH病毒本身的长度约为1KB左右。CIH1.2版的发作日期是每年的4月26日；CIH1.3版的发作日期是每年的6月26日；CIH1.4版的发作日期则是每月的26日！（有些变种是在27或28日发作）。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-27948-24.html