Tpvo/3783 病毒的分析和防治

• 
  2．引导区中病毒的检测和清除
  
   　 用磁盘编辑工具观察引导区，如果发现偏移 003EH 的内容为 FA 33 DB 8E D3 BC 00 7C 8E C4 表示引导区中已有病毒，对于硬盘，可用 CX=000DH，DX=0080H，INT 13H　读出原引导记录，对于软盘，可用 CX=5009H，DX=0000H，INT 13H 读出原引导记录， 再写入引导区就可以清除病毒，清除硬盘引导区的 3783 病毒也可以简单地用 FDISK /MBR 来完成。
  
  3．可执行文件中病毒的检测和清除
  
   　 3783 病毒在文件中保存了原文件的文件头，位置是病毒开始后偏移第 0E87H 处算起的 40H 字节，由于 3783 病毒代码不加密，所以检测和清除相对比较简单，对于 DOS 文件，可以用PCTOOLS 等软件查找字符串 0E 1F E8 00 00 5E 83 EE 05 56 06 B8 7F 18，或用DEBUG 反汇编文件的前几句，如果发现字符串或发现以下指令：
  XXXX:0100　 E9YYYY　　JMP　　 YYYY　　　　；.COM 文件的第一句
   　　　　　 ．．．
  XXXX:YYYY　 0E　　　　PUSH　　 CS　　　　 ；.EXE 文件的第一句
   　　　　　 1F　　　　 POP　　 DS
   　　　　　 E80000　　 CALL　　ZZZZ
  XXXX:ZZZZ　 5E　　　　POP　　　SI
   　　　　　 83EE05　　 SUB　　 SI,+05
   　　　　　 56　　　　 PUSH　　SI
   　　　　　 06　　　　 PUSH　　ES
   　　　　　 B87F18　　 MOV　　 AX,187F
   　　　　　 BB5344　　 MOV　　 BX,4453
   　　　　　 CD21　　　 INT　　 21　　　 (DOS)
   　　　　　 81FBA187　CMP　　　BX,87A1
  就可以确认文件已被 3783 病毒传染，手工消毒可以用以下办法：先记下找到字符串的位置，再将这个位置加上 0E87H，( DEBUG 中将地址 YYYY 加上 0E87H) 就是原文件头 40H 字节保存的地方，将这 40H字节写回文件头，再从找到字符串的地方将文件截断即完成消毒。
   　 对于WINDOWS文件，由于病毒对文件修改较多，且数据结构复杂，一般不用手工消毒，在没有消毒程序的情况下，建议用以下办法：找一个压缩软件如 ARJ、LHA、RAR 等， 将文件改名为其他文件名如 A.EXE，再运行一个带毒文件使内存中驻留病毒，再将要消毒的文件打包，由于病毒执行了欺骗功能，所以由压缩软件读出并压进文件包的文件都是无毒的，用干净系统盘启动后，解压缩出来的文件就是无毒的了。在磁盘空间足够的情况下，也可以用这种方法全盘压缩，再全盘解压缩来消除全部病毒。编程自动消毒的步骤和算法如下：
   　 ⑴　判断文件头 0018H 大于等于 40H 则继续 (表示有 "NE" 文件头)
   　 ⑵　从文件头 003CH 取得偏移量读出 40H 字节，判断前 2 字节为 "NE" 则继续
   　 ⑶　从 "NE" 报头中取相关数据计算入口段地址表记录偏移量，算法为：
   　　　 偏移量＝"NE"报头偏移量＋["NE"报头22H]＋(["NE"报头16H]-1)＊8
   　 ⑷　读出 8 字节入口段的段地址表记录
   　 ⑸　如果本记录后 6 字节为 7D 0E 80 01 7D 0E 表示有 3783 病毒
   　 ⑹　病毒起始位置(即原文件长)＝[段地址表记录00H]＊( 1 SHL ["NE"报头32H] )
   　 ⑺　恢复原入口段地址表记录号：病毒中第 0E83H ＝> "NE"报头16H
   　　　 恢复原入口 IP：病毒中第 0E85H ＝> "NE"报头14H
  
• 上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• Tpvo/3783 病毒的分析和防治 相关文章：
• ·系统漏洞的形成和防治办法
• ·减治法：C#实现插入排序实例
• ·网络工程师讲解系统安全漏洞的形成和防治
• ·李治国：急躁公司做不了分类信息
• ·网络工程师教您防治常见网络攻击
• ·通过Rational的工具来实现SOA治理
• ·利用Mcafee根治Viking 威金病毒
• ·理清SOA治理中的架构师角色
• ·VeryCD:迅雷增强共享机制说治标不治本
• ·巧妙设置系统 轻松防治邮件病毒
• Tpvo/3783 病毒的分析和防治 相关软件
• ·《资治通鉴》注释版（全五册）
• ·贞观之治
• ·本殖民统治台湾五十年史
• ·《常见皮肤性病诊断与治疗》
• ·福赛斯经典政治惊险小说《豺狼的日子》
• ·《威权统治下的中国现状与前景》
• ·新疆好地方－庆祝新疆自治区50周年摄影集
• ·统治世界2
• ·曾胡治兵语录
• ·佐治药言

上一篇:UNIX系统上实现拨号

下一篇:网络资源的列举

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐