先了解什么是
MBR!
磁盘主引导记录( MBR)简介:
MBR( Master Boot Record) ,中文意为主引导记录。电脑开机后,主板自检完成后,被第一个读取到的磁盘位置。硬盘的 0磁道的第一个扇区称为 MBR,它的大小是 512字节,它是不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取。 DOS时代泛滥成灾的引导区病毒多寄生于此。
电脑系统开机过程介绍:
开启电源开机自检 -->主板 BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动 -->系统 BIOS将主引导记录 (MBR)读入内存。然后,将控制权交给主引导程序,再检查分区表的状态,寻找活动的分区。最后,由主引导程序将控制权交给活动分区的引导记录,由引导记录加载操作系统。
鬼影病毒的正确处理方法:
关于 “鬼影 ”这个病毒,我不想在这里敖述了,大家可以自己从网上去看一下,我这里只告诉大家怎样去治疗和预防。
首先当你已经中了这个病毒了,那么你也不用紧张,这个病毒虽然传说是就算重装也不能删除的,这只是方法不对而已。所以才会重装后病毒还会继续发作的原因,下面我就告诉大家来治疗鬼影病毒的方法。
首先,格式化 C盘,再进入 dos状态,运行 fdisk/mbr 命令,用以清除掉主引导区的病毒引导代码,这时候重装系统就可以了,但是这是在完全安装起作用的,如果你用是 GHOST安装系统那么还要多做以下几步。
1、通过 GHOST系统盘进入 PQ/PM分区工具,一般 GHOST系统盘都带的
2、 右击 c盘,选择进阶 -设为作用,这样就把 MBR引导层重新写了一遍,这样在引导层中的病毒也自然被剔除了。
3、 直接用 GHOST系统盘安装系统就 OK了。
病毒清除方法
在 WINDOWS时代之所以很少见,并不是因为做不到 ——早在 1998年, CIH就告诉病毒编写者如何利用驱动技术绕开 WINDOWS的核心保护机制 ——而是因为这么做的投入产出不成比例。 DOS下 的自启动项目很少,病毒要自启动的话,除了寄生于文件,就只能依靠 MBR了;而 WINDOWS的自启动项目实在是太多了,随便在注册表里改一下,一般用户 根本看不出来病毒已经启动,所以没有人纯粹为了一个自启动的目的去写个驱动来改动 MBR,这纯属费力不讨好。其实从这点就可以看出,写 WINDOWS下的 病毒***,技术门槛比 DOS下要低一些。
不过这个病毒作者还是有一点创意:他将存放在磁盘第 5扇区的病毒的主要代码插入到 ntldr文件中,这样就解决了自身代码在 WINDOWS下的加载问题,比写个中断服务程序要简单得多。这一思路也为真正的 BIOS病毒提供了一个非常好的实现方法。
解决这个病毒的方法其实也很简单,不过我仍然要提醒一句硬盘有价 数据无价 别傻呼呼的格式化硬盘 ,因为这样并不能修复 MBR 而且根本不会改写 MBR DBR DATA这三个区域 ,最简单明了的方法 使用 windows系统安装盘自带的修复功能 ,按住 R 键进入修复平台 ,稍等片刻 -进入命令提示符 -输入帐户名密码后 然后在命令提示符下输入 Fixmbr 然后系统提示是否更新 MBR主引导记录选择 是 并且再输入 Fixboot 修复 boot区引导 至此 主引导区已经修复完毕 病毒自然清除 然后用 WinPE工具箱进入 WinPE系统 杀毒 就可以解决了。
DOS下手动查杀方法
第一步:找专杀工具
其实现在并没有十分有效的专杀工具,因为病毒采用的是 DOS时代古老手法,一般杀毒软件只能工作于 WINDOWS下,是不能根治的。这里推荐使用 “一键 GHOST“,其中的 DOS工具箱自带的小工具 DISKRW就可以完美解决。
第二步:杀除 MBR病毒
1、清除 MBR以外的硬盘保留扇区。(这一步我不能保证真的管用,反正用了更保险。)
安装或制作好 “一键 GHOST”,开机进入一键 GHOST,最终出现红色界面时按 ESC键退回到主菜单,按方向键选择 “DOS工具 箱 ”-->“DISKRW" --> "3.清除 " --> "清除 (2)“ --> 确定。(注意,尽量使用 2010版,更早的版本不能保证有此功能)。
2、修复 MBR(关键一步,必须做)
接着上一步,选择 “4.修复 ”--> “修复 (F)“ --> 确定。
第三步:重装或恢复系统
在第二步完成后,千万不要重启电脑进入 WINDOWS了,否则会二次感染。正确的方法是,将系统安装光盘放入光驱中,重装系统。或者如果你有本地的系统备份(当然是没感染病毒之前做过的备份),也可以用 “一键恢复系统 ”功能进行恢复。
第四步:全盘杀毒
返回 WINDOWS后,需要升级你的杀毒软件到最新版本(最新病毒库),然后进行 “全盘查杀 ”,这样可以把残留在非系统盘(比如 D盘、 E盘、 F盘)里的病毒寄主文件杀掉,以做到 “斩草除根 ”。
与网络流行方法的比较:
1、清除 MBR时,网络流行 FDISK /MBR法,这个方法早就过时了,一个原因是无识别大硬盘,另外因为写入的是 WIN98的 MBR的代码,兼容性不好(启动失败),不如用我上面提到的 DISKRW的修复 MBR功能进行修复,因为 DISKRW自带的 WINXP的 MBR代码,兼容性好。
2、网络还流行 MHDD的 ERASE法,这个更不安全了,因为是将硬盘全部低格,硬盘上的数据将全部丢失,所以最不可取。而我上面提到的方法是不破坏 D盘及以后分区的数据的,最多仅需要重装 C盘或恢复 C盘。
大家要相信:鬼影病毒并不可怕,可怕的是自己没技术能力!建议大家多多学技术!
磁盘主引导记录( MBR)简介:
MBR( Master Boot Record) ,中文意为主引导记录。电脑开机后,主板自检完成后,被第一个读取到的磁盘位置。硬盘的 0磁道的第一个扇区称为 MBR,它的大小是 512字节,它是不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取。 DOS时代泛滥成灾的引导区病毒多寄生于此。
电脑系统开机过程介绍:
开启电源开机自检 -->主板 BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动 -->系统 BIOS将主引导记录 (MBR)读入内存。然后,将控制权交给主引导程序,再检查分区表的状态,寻找活动的分区。最后,由主引导程序将控制权交给活动分区的引导记录,由引导记录加载操作系统。
鬼影病毒的正确处理方法:
关于 “鬼影 ”这个病毒,我不想在这里敖述了,大家可以自己从网上去看一下,我这里只告诉大家怎样去治疗和预防。
首先当你已经中了这个病毒了,那么你也不用紧张,这个病毒虽然传说是就算重装也不能删除的,这只是方法不对而已。所以才会重装后病毒还会继续发作的原因,下面我就告诉大家来治疗鬼影病毒的方法。
首先,格式化 C盘,再进入 dos状态,运行 fdisk/mbr 命令,用以清除掉主引导区的病毒引导代码,这时候重装系统就可以了,但是这是在完全安装起作用的,如果你用是 GHOST安装系统那么还要多做以下几步。
1、通过 GHOST系统盘进入 PQ/PM分区工具,一般 GHOST系统盘都带的
2、 右击 c盘,选择进阶 -设为作用,这样就把 MBR引导层重新写了一遍,这样在引导层中的病毒也自然被剔除了。
3、 直接用 GHOST系统盘安装系统就 OK了。
病毒清除方法
在 WINDOWS时代之所以很少见,并不是因为做不到 ——早在 1998年, CIH就告诉病毒编写者如何利用驱动技术绕开 WINDOWS的核心保护机制 ——而是因为这么做的投入产出不成比例。 DOS下 的自启动项目很少,病毒要自启动的话,除了寄生于文件,就只能依靠 MBR了;而 WINDOWS的自启动项目实在是太多了,随便在注册表里改一下,一般用户 根本看不出来病毒已经启动,所以没有人纯粹为了一个自启动的目的去写个驱动来改动 MBR,这纯属费力不讨好。其实从这点就可以看出,写 WINDOWS下的 病毒***,技术门槛比 DOS下要低一些。
不过这个病毒作者还是有一点创意:他将存放在磁盘第 5扇区的病毒的主要代码插入到 ntldr文件中,这样就解决了自身代码在 WINDOWS下的加载问题,比写个中断服务程序要简单得多。这一思路也为真正的 BIOS病毒提供了一个非常好的实现方法。
解决这个病毒的方法其实也很简单,不过我仍然要提醒一句硬盘有价 数据无价 别傻呼呼的格式化硬盘 ,因为这样并不能修复 MBR 而且根本不会改写 MBR DBR DATA这三个区域 ,最简单明了的方法 使用 windows系统安装盘自带的修复功能 ,按住 R 键进入修复平台 ,稍等片刻 -进入命令提示符 -输入帐户名密码后 然后在命令提示符下输入 Fixmbr 然后系统提示是否更新 MBR主引导记录选择 是 并且再输入 Fixboot 修复 boot区引导 至此 主引导区已经修复完毕 病毒自然清除 然后用 WinPE工具箱进入 WinPE系统 杀毒 就可以解决了。
DOS下手动查杀方法
第一步:找专杀工具
其实现在并没有十分有效的专杀工具,因为病毒采用的是 DOS时代古老手法,一般杀毒软件只能工作于 WINDOWS下,是不能根治的。这里推荐使用 “一键 GHOST“,其中的 DOS工具箱自带的小工具 DISKRW就可以完美解决。
第二步:杀除 MBR病毒
1、清除 MBR以外的硬盘保留扇区。(这一步我不能保证真的管用,反正用了更保险。)
安装或制作好 “一键 GHOST”,开机进入一键 GHOST,最终出现红色界面时按 ESC键退回到主菜单,按方向键选择 “DOS工具 箱 ”-->“DISKRW" --> "3.清除 " --> "清除 (2)“ --> 确定。(注意,尽量使用 2010版,更早的版本不能保证有此功能)。
2、修复 MBR(关键一步,必须做)
接着上一步,选择 “4.修复 ”--> “修复 (F)“ --> 确定。
第三步:重装或恢复系统
在第二步完成后,千万不要重启电脑进入 WINDOWS了,否则会二次感染。正确的方法是,将系统安装光盘放入光驱中,重装系统。或者如果你有本地的系统备份(当然是没感染病毒之前做过的备份),也可以用 “一键恢复系统 ”功能进行恢复。
第四步:全盘杀毒
返回 WINDOWS后,需要升级你的杀毒软件到最新版本(最新病毒库),然后进行 “全盘查杀 ”,这样可以把残留在非系统盘(比如 D盘、 E盘、 F盘)里的病毒寄主文件杀掉,以做到 “斩草除根 ”。
与网络流行方法的比较:
1、清除 MBR时,网络流行 FDISK /MBR法,这个方法早就过时了,一个原因是无识别大硬盘,另外因为写入的是 WIN98的 MBR的代码,兼容性不好(启动失败),不如用我上面提到的 DISKRW的修复 MBR功能进行修复,因为 DISKRW自带的 WINXP的 MBR代码,兼容性好。
2、网络还流行 MHDD的 ERASE法,这个更不安全了,因为是将硬盘全部低格,硬盘上的数据将全部丢失,所以最不可取。而我上面提到的方法是不破坏 D盘及以后分区的数据的,最多仅需要重装 C盘或恢复 C盘。
大家要相信:鬼影病毒并不可怕,可怕的是自己没技术能力!建议大家多多学技术!
转载于:https://blog.51cto.com/stantic/454098
576
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
