26日,是计算机的“忌日”?以前也许是这样,现在谁还关心这个问题?是CIH病毒“金盆洗手”了,还是操作系统内功了得,刀枪不入?其实都不是。随着开放性极强的互联网的普及,来自网上的各种攻击日趋严重,这样就使得人们产生一种错觉:现在病毒的攻击更多的是对网络应用的攻击,而那些专门针对系统底层进行的攻击(如硬盘逻辑炸弹、CIH病毒)是上世纪黑客的惯用伎俩,现在不会再重出江湖。这样就使得用户对系统底层攻击的防范意识逐渐淡化,遇到问题更加缺乏心理准备。因此,为了防微杜渐,笔者以早期的硬盘逻辑炸弹病毒为例,介绍几招应对措施,以期唤起人们对传统的针对系统底层的攻击的防范意识。
“硬盘逻辑炸弹”是一种通过更改系统引导分区表把逻辑盘锁死,由于系统启动时找不到逻辑盘或引导程序,从而使得系统无法正常启动的病毒。由于该病毒从系统底层入手攻击,其破坏性极强,轻则系统无法正常启动,重则造成重要数据丢失。它是一把双刃剑,恶意使用,则会破坏系统,反之,则能很好的保护系统,如还原精灵、硬盘保护卡等。
要想系统高枕无忧,就要做到未雨绸缪,拒敌于国门之外,不打无准备的仗:
1. 将硬盘分区表备份。用杀毒软件KV3000、Norton的Diskedit将硬盘分区表备份在隐藏扇区,如果硬盘锁住就用FDISK/MBR命令恢复。
2. 利用IMG镜像文件制作万能系统启动盘。杀毒软件KV3000上有一个IMG镜像文件,将之导入一张能正常启动系统的系统启动盘,从而制作一张包含有IMG镜像文件的DOS启动盘,如硬盘被锁,就用万能启动盘启动即可。
3. 由于此种病毒是利用DOS的Debug命令进行攻击的,因此,你可以把Debug命令删除、禁用启动时的F4、F8功能、禁用DOS模式以及禁用开始项中的“运行…”栏。
4. 在BIOS设置中把系统启动顺序设为第一选择LAN,第二选择硬盘,切忌把第一选择设为A盘。
如果不小心,真的让“鬼子”混进了村,上了“鬼子”的当,也不必惊慌,它无非就那么几招,分析对待就可以了:
第一种现象 从硬盘无法启动,只能从软盘或者光盘启动。这是由于病毒修改了硬盘分区表的有效标志,如果更改此有效标志,则不能从硬盘启动。
第二种现象 无法从硬盘启动,从软盘启动后,也找不到逻辑硬盘。这是由于系统分区表参数不正确,比如全部变为0,系统检测不到逻辑盘,使硬盘不能启动,软盘启动后,也无法读取硬盘或者根本找不到硬盘。
第三种现象 系统指示灯不停的闪烁,就是无法启动系统。这是病毒将分区表中逻辑驱动器盘符循环镜像,如将C盘镜像为D盘,同时将D盘镜像为C盘,这样检查分区时,由于是死循环,无法跳出循环检查而无法启动系统,造成死机。
第四种现象 无法找到系统引导程序。这是病毒重新制造了一个分区表,将正确的分区表参数和引导程序隐藏在其他扇区。由于无法完整读取引导程序而不能完成系统引导,造成系统无法启动。
不管是哪种情况,以不变应万变,只要有备份盘,用启动盘启动,然后用A盘下的Debug命令或者Diskedit软件将硬盘分区参数改回去重启即可。
如果你对系统底层有些许了解,决定自己动手,那么请注意以下事项:
1. 谨慎修改。硬盘分区表、I/0表、目录区、FAT表均记录了硬盘的许多信息,如果该表中的参数出现错误,可能造成各式各样的情况。因此若对硬盘逻辑和物理结构或表中的数据不非常熟悉的情况下,千万不要随意改动,最好再请教高手。
2. 做好备份。在操作过程中,若没有十足的把握,请将被改动的地方记录下来,或者原样复制一份,以备修改错误时恢复原貌。
3. 具体问题具体分析。由于硬盘大小、分区数以及操作系统的不同,得到的参数和数据也不尽相同,因此需要反复确认参数数值后才可进行修改;另外硬盘出问题也有多种原因,并不都是分区表出了问题,因此一定要认真分析才可动手解决。
[1] [2]
作者:康祥顺
(出处:http://www.sheup.com)
[1] [2]