众所周知,计算机病毒与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染它们,对计算机资源进行破坏的这样一组程序或指令集合。
长期操作电脑者会发现,病毒往往紧跟计算机的发展步伐,升级换代频繁,从最初的破坏软件发展到损毁硬件,令人对计算机病毒既怕又恨,防不胜防。因此,及早发现和清除病毒,是将病毒产生的危害降低到最低限度的重要手段,如果在已经安装了防病毒软件且病毒定义码和病毒查杀引擎是最新版本的情况下,病毒仍然发作并造成文件丢失或系统破坏,那么,这就是最新的病毒在发作。这时,就应提取新病毒样本,供反病毒专家分析研究,以便在最短的时间内更新病毒代码库。提取新病毒样本的方法如下:
一、引导型Boot病毒的捕获
引导区类型的病毒提取很简单,首先利用Format A: /S将引导系统文件复制到软盘中,然后再将的硬盘中的一些系统执行文件一同拷贝到软盘中。具体步骤如下: 进入MS-DOS方式, 格式化一张系统盘,Format A: /s , 针对不同的系统,请将如下文件拷贝到这同一张软盘之中:
对于Windows 3.x: 拷贝 /Windows/System下的 gdi.exernl286.exe、progman.exe三个文件。
对于Windows 95/98/ME: 拷贝 /Windows/System下的 gdi.exe、krnl386.exe、progman.exe三个文件。(见图1)
图1
对于Windows NT、Windows 2000: 拷贝 /Windows/System32下的 gdi.exe、krnl386.exe、progman.exe 三个文件。
如果格式化软盘时出现死机,请按下列步骤提取:请在该软盘的标签上写明“damaged during infected format as boot disk”。
针对不同的系统的上列文件,拷贝到不同的软盘中,方法同上。
二、文件型File/Macro病毒的捕获
如果你怀疑病毒是文件型,将C盘根目录下的command.com文件拷贝到软盘上,取名为command,即去掉扩展名。
如果你怀疑病毒是MS Word宏病毒,将C:/Program Files/Microsoft Office/Templates目录下的“"normal.dot”文件和C:/Program Files/Microsoft Office/Office/Startup 目录内的所有文件拷贝到软盘。(见图2)
图2
如果你怀疑病毒是MS Excel宏病毒,将XLSTART目录内的所有文件拷贝到软盘。XLSTART位于计算机的多个地方,用Windows搜索功能查找"XLSTART"找到所有的目录,然后将这些目录下的文件全部拷贝到软盘。
如果你怀疑病毒是PowerPoint宏病毒,做以下操作:打开一个空的Power Point文件,然后把它另存为一个文件,保存类型选为“演示文稿设计模板”,然后将此扩展名为.pot文件拷贝到软盘。
请在该软盘的标签上写明“contains infected files”,并尽量让软盘存入尽可能多的带毒文件。
将软盘做成一个影像文件。
三、Trojans病毒的捕获
运行regedit.exe文件打开注册表编辑器。记录下来下面注册项中涉及到的文件。
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run中涉及到的文件。(如图3)
图3
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices中涉及的文件。
打开Win.INI文件,将文件中“load=” 和“ run=” 行中涉及的文件记录下来。
按如上信息确定文件名和它们所在的目录,并将这些文件压缩到一个zip文件中。
四、几款病毒工具软件
ClrText.zip:当你提交的病毒是Word或Excel宏病毒时,这个工具软件可以将你的感染文件的内容清除,而只保留宏,从而可以避免你的保密信息泄露。
SaveMBR.zip:这个工具软件可以将你的感染硬盘的MBR读到一个文件中,然后把文件发送到NAI进行病毒分析。
RWFLOPY.zip:RWFloppy 软件可以恢复或生成软盘影像文件。它的作用是当你不想通过邮寄软盘的方式发送病毒样品时,可以用它生成一个影像文件通过电子邮件发送。特别是对于引导区病毒,由于它隐藏在软盘的80、81扇区,而一般的软件无法读取这两个扇区。
Readt80.zip:为了正确检测BOOT区病毒,我们需要一张包含病毒的软盘。可以通过DOS状态下格式化一张系统软盘来得到:FORMAT /S A:
需要软盘的原因是:引导区病毒通常把自己隐藏在一般DOS软件不能读取的地方(对于1.44M软盘有80个扇区,从 0 到 79, 引导区病毒把病毒代码隐藏在80、81 扇区)
如果你用一般的软件来生成一个软盘影像文件,这个影像文件不包含80和 81扇区,所以也就无法进行分析病毒。这个软件就是用来把软盘中包含病毒代码的80、81扇区读出来写到一个文件中去。
SYSU.zip:这个软件用来恢复被多种宏病毒感染的系统。
全站资源
- 微软官方入门教程19:轻松掌握Vista系统的快
- 微软2008大冲击,预借Vista SP1力促Vista市
- 在收件箱中获得 Windows Vista 的最新更新
- 微软官方Vista入门教程全集19篇(Vista学院
- Windows Vista 的成功将势不可挡
- 快快抛弃Vista,拥抱XP SP3!你觉得呢?
- 浅谈Vista系统关闭虚拟内存与使用内存盘加速
- 嘿嘿,按下键盘上面的三个键,马上让你的Vi
- Windows Vista的盗版率只有Windows XP的一半
- 3DMark和PCMark Vantage新版将只支持Vista系
阅读排行
- 关于sxs.exe病毒
- 网友举报:屁屁宽频软件自带木马病毒
- services.exe病毒清除详解
- 彻底解决services.exe进程病毒
- EXERT.exe、LSASS.exe病毒木马查杀
- 如何清除每次开机时自动弹出的网页
- 四款最流行的反恶意软件对比测试(上)
- 查找与清除插入式特络伊木马
- 恢复威金病毒感染的EXE文件小方法
- 知名IT网站评出全球十大计算机病毒
最新技术文档
- 杀毒软件反被病毒杀 连"救命"都不能喊
- 金山ARP防火墙
- 还原卡神话破灭“机器狗”病毒来势汹汹
- cctv经济半小时:你的手机现在安全吗?
- 新挂马方式开始流行 ARP挂马称雄局域网
- 木马和病毒清除的通用解法
- IP地址不再冲突 查找ARP攻击者元凶
- 教你几招识别和防御Web网页木马
- 分析:封杀BT只是暂时的止痛药
- QQ爆危险漏洞,“QQ游戏邀请大盗”邀请你玩病
专题教程
- 大话G游 专题:手机病毒揭密
- ARP攻击防范与解决方案 路由故障处理手册
- Picasa中文版_Picasa教程 专题:清除流氓软件
- Firefox专题 seo搜索引擎优化专区
- 重装Windows必知的事情 装机之必备软件大行动
病毒专杀栏