光电工程师社区

标题: 我第一次与病毒抗争的经历 [打印本页]

作者: suncon 时间: 2004-3-5 17:55
标题: 我第一次与病毒抗争的经历
我第一次与病毒抗争的经历

大约在83、84年，那时我已经拥有了一台286——尽管那时的系统只有DOS，尽管那是单位的机子。
但因为得来不容易，故我非常爱惜她，每天保养得非常的细心，她也非常的体谅我，从不出什么乱子。
有一天，我在整理文件时用DIR命令，发现所有的COM、EXE型可执行文件的长度均为1024个字节。这一下让我大吃一惊：不得了啦。
当时还没有有关DIRⅡ病毒的报道，手中的杀毒软件又查不出什么问题。怎么办！我怎么向领导交代？真是让我浑身冷汗直冒！
当时，我对计算机懂得不多，更不用说DEBUG汇编语言了。这到底是什么问题，该如何着手处理？
看看手头的磁盘工具，最为强大的只有PCTOOLS，这在当时是最好的了。
我想，既然文件的长度均为1024，那么用PCTOOLS进去看看。发现里面完全不是那么回事。在文件分配表中，那些文件的长度均不相同。可在DOS下的DOR命令又相同，说明应该是惹上病毒了。
那病毒体在哪呢？
如果病毒体在可执行文件里，那文件长度应当有变化，既然无变化，那就是存在着一个单独的病毒体。
按照这个设想，我查找机子里是否存在一个不认识的文件，可结果令人失望。
后来又想，PCTOOLS有一个磁盘影象功能，用它能找到每个文件对应的在磁盘上的具体位置，不妨用它来比对一下。
结果发现一个奇怪的现象：磁盘中有一个空间是所有可执行文件所共有的，它的具体位置在磁盘的末端。而我的磁盘还空得很，没必要要使用到这里。
再进一步试验，将可执行文件后缀名一改，它就不再占用这个空间了。这说明在磁盘末端的这个扇区，存在着病毒体。同时，命令解释器COMMAND.COM也应该有问题。
那怎么清除呢？我用的是最笨的办法，将所有COM型文件后缀名改为COX，EXE改为EXX。这时再用DIR命令，文件长度正常。
再重新启动，进不了DOS了。为什么，命令解释器的名字被改了，当然就进不了了。还好，软盘有备份。用软盘启动，再DIR，好，样样正常。
我考虑如果将软盘的COMMAND.COM拷贝到硬盘，硬盘的病毒体会不会再次发作？
干脆，我把硬盘的最后一个扇区“格式化”。
再次调用PCTOOLS，进入磁盘管理，将硬盘的最后一个扇区的1024个字节用手工全改为“F6”。
软盘重启，再把软盘的COMMAND.COM拷贝过来，删除硬盘的COMMAND.COX，硬盘的文件名全改回来，用硬盘启动测试，哈，病毒没了。

于是，我把这个病毒叫做“1024”病毒。
再过了半个月，报纸、杂志出来了，有叫“1024”的，有叫“DIRⅡ”的，最后统一叫了“DIRⅡ”了。
看看报道，想不到这个病毒当时是那么的猖獗，那么泛滥。咳。
不过人家的杀毒方式比我的可简单多了，文件改名后，按我的步骤作最后一步就可以了，完全不用扇区“F6”格式化。到底人家是专业嘛！

虽然我的办法比较苯，但整个分析过程还应该是比较正确的，其中不乏有可供以后借鉴之处。至少，它影响了我今后的工作。故特录于此，让大家见笑。

作者: 亚洲之鹰 时间: 2004-3-9 00:20
标题: 我第一次与病毒抗争的经历
厉害啊

作者: zhuhhui 时间: 2004-3-9 06:57
标题: 我第一次与病毒抗争的经历
是的好厉害的！

欢迎光临光电工程师社区 (http://bbs.oecr.com/)