第034章 分析病毒(第二更) 作者:未知 对硬盘主引导记录的分析结果显示,硬盘的主引导记录已经被病毒篡改了,肖远仔细分析了主引导记录的分析报告,加上自己经验进行推测,基本上搞明白了這個病毒的工作原理: 主引导记录中内置了一段判断程序,這段判断程序会首先探测计算机的網络端口是否开放,如果开放的话,他会将自身以广播的形式向網络上发散,如果沒有开放,那么他将不会主动进行網络传播,转入下一流程,对硬盘进行检测,判断硬盘是否被CIH病毒所感染,如果被感染了,他就会把自己隐藏起来,沒有任何动作。 如果判断程序发现系统沒有被感染,那么,它会将在硬盘末尾一块很小的隐藏分区中存储的CIH病毒原体,拷贝到系统文件夹中,并設置为随系统自动启动,做完這一切后,它又会把自己隐藏起来,系统在启动时,CIH病毒随之运行,对系统文件进行感染,接下来对系统的破坏工作,就交给CIH病毒进行了。 這個判断完全是建立在硬盘中有完整的Windows系统的情况下进行的,如果它发现系统中沒有操作系统,也就是說硬盘可能被格式化了,那么這個判断程序就会运行一段和CIH病毒存储在同一隐藏区域的另一個程序,這個程序肖远根据先前的情况推断,应该就是那個游戏程序。 从逻辑上来說,這段判断程序的工作原理并不是特别复杂,所以,肖远很容易就做出了上面的那些推断。 退出了硬盘分析程序,肖远又运行了一款磁盘分区管理软件,這款软件比系统自带的那個fdisk要强大一些,能够探查出那些fdisk无法发现的隐藏分区,运行后,软件给出了一個磁盘系统分区表清单,果然,在最后有一個只有一兆的隐藏分区,CIH病毒原体和先前他们玩的那個字母游戏程序就隐藏在這裡。 這时,肖远突然想到,刚才唐新宇对磁盘进行分区,用的是系统内置的分区命令fdisk,那么,他对那些硬盘分完区后,這個小隐藏分区应该沒有被破坏掉,不過一来因为這個分区是隐藏的,二来,這個分区内存储的病毒需要主引导记录的程序提取才能运行,那些学生机的电脑上,即使還留着這個分区,裡面的病毒也变成了死物,沒有了发作机会而已。 为了驗證自己的想法,肖远拿了一块還沒有装到计算机上的学生机硬盘检测了一下,果然,唐新宇重新分区后,只是把主引导记录中的那個判断程序给破坏掉了,磁盘末尾的那個隐藏分区還在,肖远顺手把這個分区给刪除了,裡面的病毒也随之被彻底销毁。 唐新宇還在继续干着他的活,但是也在密切注意着肖远這边,他看到肖远拿起了他分過区的一块硬盘装到电脑上,又进行了一番操作,于是趁着ghost克隆等待的時間,凑了過来。 “病毒還沒有杀掉?” “嗯,還有一点残留……” 肖远把刚才的分析结果给唐新宇說了一遍,然后让唐新宇在硬盘克隆的空闲时,把所有硬盘最后的那個隐藏分区给刪除掉,而他自己则把那個隐藏分区中的CIH病毒原体给拷贝了出来,因为他做這一切都是在DOS下进行的,而CIH病毒感染不了DOS,所以他并不担心這一举动会有什么危险。 拷贝出来后,他将這個病毒进行了反汇编,然后开始研究這個病毒的汇编代码,看看它究竟是怎么绕過自己設置的CIH病毒免疫补丁的,研究了一会儿,突然笑着感叹了一句:“原来是這么回事,真野蛮啊!” 原版的CIH病毒在感染计算机之前,会检测机器是不是被感染過了,如果感染過了,病毒就不会重新进行感染,而肖远設置的免疫补丁就是利用了這一点,在系统中伪造出一种被病毒感染的假象,从而达到骗過這個病毒的目的,但是這個被改造過的病毒却是采用了一种很野蛮,但有效的方式,不管计算机有沒有感染,它都会重新感染一遍,這样,肖远設置的补丁自然就沒有了作用。 肖远继续分析病毒代码,发现病毒的发作時間被設置成了每周四上午十点半,而不是原来的4月26号,6月26号以及每月的26号,這才导致今天上午机房的机器病毒大爆发。 除了上面的這些改动外,這個病毒和原版的CIH病毒并沒有什么区别,所以肖远在弄清楚它的工作原理后,就把它删掉了。 這时候,唐新宇已经把所有学生机的系统都装好了,最后的以藏分区也被他删掉了,他闲下来后,也围了過来,拉了把椅子坐到了肖远的身边看他在不停地忙碌。 肖远看到唐新宇過来,就把他分析得到的结论向唐新宇介绍了起来,却不想招来了坐在另一侧的唐飒的不满。 “咯咯,弟弟你好偏心哦,姐姐在你身边坐了這么久,也不见你向姐姐解释一下。” “你本身就是搞這個的,還用我给你解释?” 肖远沒有看她,直接反驳了一句,刚才唐飒一直坐在他身边很安静,以至于他在专心分析病毒代码的时候,竟有一段時間忘记了她的存在,這种情况让他现在想起来,有些意外,但是因为担心她借题发挥骚扰自己,還是不敢给她好语气。 “姐姐是老板耶,懂不懂這些有关系嗎?”唐飒不满的說了一句。 肖远沒有理会她,而是继续向唐新宇讲了起来。 唐新宇看着自己老姐一脸不高兴的样子,脸上露出了一丝苦笑,好歹她今年也二十好几了,怎么在肖远這裡,老是时不时就引诱肖远一下,而這一会儿又像一個受了冷落的小女孩,真是不知道她究竟想要怎样,他可是见過老姐在公司裡面对员工时那副冰冷干练的模样的,那时的老姐和现在的老姐完全就是两個人。 偏偏肖远对老姐又是不冷不热,甚至完全无视她的美貌和引诱,這也让他感到怪异,心中暗自嘀咕,难道肖远对女人不感兴趣不成,不然自己老姐這么性感漂亮,還时不时做出一些故意引诱的行为来,這個家伙怎么会沒有丝毫反应。 肖远也不管唐新宇懂不懂,他讲的很快,用了七八分钟,就把认为该讲的讲完了。 为唐新宇解释完后,肖远准备分析一下那個文字游戏,把那個游戏拷出来后,却发现那個游戏文件根本就不是Windows下面的可执行文件,而是属于另外一個体系的可执行文件,根本就无法在DOS下运行,他现在准备的這些工具根本就无法对其进行反汇编,自然也分析不成,于是他只好暂时放弃了分析的打算。 所有工作都做完了,肖远把教师机上的硬盘也进行了分区格式化,然后安装了操作系统,至于那個隐藏分区,因为对电脑不会再有什么害处,又因为那裡面還有一個他非常感兴趣的游戏沒有分析,所以他把那個隐藏分区暂时留着,沒有刪除掉。 搞定了所有工作后,時間已经到了晚上十点多,肖远就沒有继续留在這裡,准备起身离开。 “肖远,那個挑战你准备怎么办?”临走前,唐新宇问道。 “既然人家都已经把战书下到我們的机房来了,自然要接受挑战了。”肖远答道,随即神秘的一笑,然后又說,“不過看样子這家伙准备的是一场網络竞赛,我在這方面還沒出师,所以,我准备回去和我师傅說說,让他老人家亲自出马,呵呵。” “对了,這個網址你要不要抄一份。”唐新宇把抄着網址的那张纸拿了出来,问道。 “不必了,我已经记住了。”肖远摆摆手,不再在這裡停留,大步离开了。 骑自行车走在南州市街头,一阵凉风吹過,肖远扬起了头,任凭带有丝丝凉意的夜风把自己的头发吹得飞扬起来,感到十分的惬意。 从南州一高到驴市街,他需要从西子巷前路過,西子巷名为巷,实际上是一條紧靠宽阔南河的一條南北走向的大街,這裡集中了南州市将近一半的饭店、酒吧和歌舞厅等娱乐场所,每到晚上河中画舫内传出的氤氲灯光,岸上五颜六色的霓虹灯光交响辉映,把整條南河映的鳞光闪闪,分外诱人。 西子巷历来是南州市夜生活最热闹的地方,外地人来南州,打听哪裡好玩儿,本地人一般会给他们推薦西子巷,但是老南州人,却知道,西子巷实际上是南州最大的红灯区。 肖远是土生土长的南州人,虽然每天都会从這裡路過,但是鉴于他的年龄,以及老爸对他严格的管束,所以很少到西子巷裡面去,最多就是路過的时候,扭头好奇的往裡看看。 今天也是一样,肖远从西子巷街口路過,习惯性的往裡面看了几眼,却突然很意外的发现了一個熟人。