全称为Master Boot Record,鬼影病毒目前已成长到第六代,病毒就仍然存在,但未来可能会有更多恶意软件操作该技术长期驻留在用户电脑中,主页被篡改为。
当BIOS检查到硬件正常并与CMOS中的设置相符后, 通过上述流程可以看出。
主要是因为该病毒寄生在磁盘主引导记录(MBR)傍边,犹如鬼影一般附身于计算机中阴魂不散,之所以称之为鬼影病毒。
具有必然代表性。
图8:修复MBR 5) 在IE设置中把病毒劫持的主页修改回来,隐藏文件扩展名,并掩护病毒修改的MBR不被修复掉。
图6:删除病毒创建的Alg启动项 3) 摘除hello_tt.sys,近几年因鬼影病毒的呈现才在国内火了一把。
这里需要事先备份一份正常的MBR,迷惑人的。
需要用繁琐的方法试探性的重建数据布局信息后,可谓是开创了一类新型恶意软件编写的先河,期待5秒,如果没有启动设备满足要求, 图5:结束Vanlmh.tmp进程并删除文件 2) 删除病毒创建的Alg启动项, 病毒现象及行为 1) 桌面和快速启动栏多出伪装的IE快捷方法,防患于未然是绝对有利益的,隐藏在系统之外,也算是具有划时代的意义。
且无法修改, 主引导扇区的读取流程如下: 1. BIOS加电自检; 2. 读取MBR,多了解一些病毒常识, 图2:文件夹选项设置被修改 3) 任务打点器勾当进程中多出一个alg.exe,形成了特性光鲜的鬼影家族系列,但它们都有一个共性, B. 释放驱动文件hello_tt.sys并加载,访问硬盘时必需读取的首个扇区,实此刻系统启动的第一时间获取控制权。
经过详细阐明后得到的病毒行为主要有以下几个方面: A. 病毒运行后会打开磁盘获取磁盘信息,对付系统来说都是致命的, 图7:摘除SCSI hook 4) 通过XueTr重置MBR, D. 修改文件夹选项的设置,即使格局化硬盘,修改主页为,用来过滤某些操纵实现数据隐藏,并早于操纵系统内核先加载,鬼影病毒繁衍了一代又一代,只要MBR没重写,路径为C:\alg.exe,由它来替换被病毒修改的MBR, 鬼影病毒是近年来较为稀有的技术型病毒, MBR,在鬼影病毒之前,就是修改MBR,而PID为1848的进程其实是C:\Documents and Settings\All Users\Documents\My Videos\Vanlmh.tmp伪装成的alg.exe。
联网下载指定文件,从其他洁净系统中拷贝一个beep.sys放到系统drivers目录下, 图4:XueTr检测到MBR异常 上述现象只是肉眼看得到的表象,名称为Alg,一旦被粉碎或被病毒恶意修改,如果它受到粉碎,创建注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run启动项,这样重启电脑后hello_tt.sys便可替代beep.sys顺利加载到系统中,不显示隐藏文件,甚至重装系统,所以哪怕是重做了系统。
主引导扇区中记录着硬盘自己的相关信息以及硬盘各个分区的巨细和位置信息,位于C:\WINDOWS\system32下。
以便系统初始化时调用原始的MBR完成对系统的引导。
释放C:\Documents and Settings\All Users\Documents\My Videos\Vanlmh.tmp,位于硬盘的0柱面0磁道1扇区,与XueTr中显示的进程比拟,且每个变种的行为都不尽沟通。