《注册表相关基础知识+(DOS下清除病毒)》由会员分享,可在线阅读,更多相关《注册表相关基础知识+(DOS下清除病毒)(13页珍藏版)》请在金锄头文库上搜索。
1、1、在DOS下利川闪盘清除病毒 对于没有安装软驱的朋友,一旦电脑被感染病毒之后就比较麻烦了。其实只 要你的闪盘具有引导功能,一样对以利用闪盘来引导系统再清除病毒。我的方法很简单,先在一台安装有软驱的 电脑上安装金山毒紺并将其升级到最新版本,然后利用金山毒霸制作DOS杀毒软盘的功能,生成一张可以在DOS 下使用的杀毒软盘,最后把软盘中的所有文件拷贝到闪盘里就可以了。在使用闪盘杀毒吋先将系统设置为从USB 设备引导,利用闪盘引导系统至DOS下以后,然厉在DOS下运行KAVDOS.EXE就可启动金山毒霸DOS版了。 以后如果毒霜升级到了新版本,只须使用同样的方法再拷贝一次文件,那么闪盘中的毒霸DOS
2、版也就同样升级了。2、在DOS卜-访问闪盘闪盘通常情况卜都是在WINDOWS中使川,但是有时候我们也需要在DOS下使川闪盘,这吋我们该怎么做呢?最简单的方法是用闪盘來引导系统,这时就可以直接在DOS下访问闪盘了。如果你的 电脑无法用闪盘來引导系统,你也可以采用下而的方法:下载一个支持USB设备的DOS启动盘制造工具( . g=4&objID=93443),利用它生成一张DOS启动盘,然后用这个启动盘引导系 统,在出现的菜单中选择支持USB设备”,等到启动结束以厉就可以访问闪盘了。由于闪盘的加密和解密程序 都是在WINDOWS中运行的,所以通过这两种方法都无法访问闪盘的加密部份。3、让闪盘可以引
3、导光驱 一般情况下,利用闪盘引导系统之片,是无法访问光驱的,但是人多数情况下光驱 对于维护系统來说还是很有用的,怎样让闪盘也可以引导光驱呢?我的方法是在WIN98中制造一张WIN98启动 软盘,然后将软盘的除了 COMMAND.COM之外的所有文件拷贝到闪盘里,这时再用闪盘引导系统,就可以白由 访问光驱了。* * * *DOS下的执行文件有三种,一种事COM文件,另一种是EXE文件,还有一种是批处理文件(.bat)人部分的病 毒只感染前两种文件,也有极少数的病毒感染批处理文件,但是此种病毒比较少。要想了解如何防治病毒就要先 了解一下病毒的常用的感染方法,下面先简单的介绍一下病毒的常用感染方法。
4、病毒的常用的感染方法主要有三种,第一种是直接在硬盘上查找文件,第二种是驻留内存,第三种是通过引 导区和驻留内存配合感染。第一种感染方法程序实现吋比较简单,因此很多的病毒都是这样感染文件的,具体方法就是利用中断21 的 4e和4f功能对EXE,COM文件进行搜索,当搜索到文件吋就进行感染,此方法的坏处就是隐蔽性低,因为感染时 要人景的进行读盘搜索文件,硬盘的灯会闪个不停很容易被发现,因此有的病毒为了提高隐蔽性每次运行时只感 染儿个文件,但是这样的话就降低了传播的速度。第二种方法隐蔽性较强,在感染时基本上不会被发现,但是在程序实现时难度比较大。具体的方法是将病毒体 驻留内存,然后将21的中断向量入
5、口改为病毒体的入口,当某一个程序调用21中断时就会去执行病毒体,病毒 体判断当前的调用是否是文件操作,如果是就将被读写的文件感染。此种方法之所以隐蔽性高是因为不用去搜索 文件,因为程序在调用文件操作时要将文件的路径及文件名存入CPU的寄存器中,病痔直接从积存器中就可以取 得文件的路径和名称。第三种感染方法破坏性极强,传播速度也非常快,此种病毒菲常顽固往往要花费很多的时间才能清除。此种病 毒的感染方法是文件及引导区都感染当引导区被感染厉,计算机启动时在引导区的病毒体就会驻留内存,然后 利用第二种感染方法感染文件而且还会利用和第二种方法相同的原理來拦截13中断(磁盘操作中断),当有软盘 读写操作时
6、就将软盘的引导区感染,当利用被感染的软盘引导其它计算机时就会感染该计算机的引导区,当发现 当前的硬盘引导区没有被感染时就感染硬盘的引导区。清除此种病毒时一定要将引导区和文件同时清除,如果只 清除一种的话另一种乂会继续感染。如果只清除文件的话,当计算机从新启动吋,在引导区的病毒乂会驻留内存 从新感染文件。如果只清除引导区的话,文件上的病毒乂会从新感染引导区。还有一种病毒是感染批处理文件方 法是将一些清除数据的命令写入批处理文件中 ,比如将Autoexec.bat文件感染,在文件的最后加上format c:/u 命令,这样的话当计算机启动时就会将C盘格式化。通过以上的介绍不难看出病毒的防治方法,下
7、面将病毒的防治方法总结一下:1. 在用来历不明的软盘时一定要先将软盘格式化。2. 自己的引导盘一定要写保护,以免被感染病毒。3. 当发现硕盘灯经常常么名奇妙的闪烁时,就有可能被感染病毒,一定要用杀毒软件查一下。4. 查看内存的使用情况,如果被程序占用的内存总量小于内存实际被占用的总量时就有可能是被病痔驻留了内 存。5. 可以利用Debug.exe 查看中断13, 21的入口,如果与正常的不符就有可能是被病毒更改。6. 很多病毒的首选感染目标是,要定期的检杳 的人小,如果变人了就是被病毒 感染了 。7. 耍经常备份重要的数据和引导区。/ 现在已经很少有人用DOS 了,但是DOS下的病毒在WIND
8、OWS95/98/me上还是可以运行的,但是人部分 的病毒对windows C经不具备破坏性了,但是引导区病毒的破坏性却丝亳没有减弱,因此一定要吋刻警惕引导区 病毒。如果想百分之百的杜绝DOS病毒的话就请运行Windows NTo如果发现某个文件被病毒感染而且一时乂找不到杀毒软件的话我们就要自己动手将病毒清除,对于清除一些比 较简单的病毒并不需耍有太深的理论基础,只耍对汇编语言了解就对以。计算机病毒就是一段程序它可以将自身 拷贝到其它执行文件上,人部分都是尾部,然后将正常文件某些数据改掉已使执行文件一启动就先执行病毒体。要想恢复被感染的文件就要对被感染的文件进行反汇编然后分析,主要的分析方法有
9、两种,静态分析 和动态分析。静态分析就是反汇编出染毒文件然后分析程序的流程,由于有些病焉白身是加密的所以静态分析是 无法看到正确的病毒程序的,加密就是病毒休将a身感染到文件厉耍将自身的指令与某一个特定的数进行一次运 算,已使自身的代码变得而日全非,当运行时在进行一次相反的解密运算,这样就可以防止被别人静态的分析。 对于此类病毒我们就要进行动态分析,就是利用调试工具去动态的执行染毒文件并分析。静态分析DOS病毒所需 的常用工具有IDA ,及16进制编辑器WINHEX, HEX, WORKSHOP和UltraEdit筹。动态分析DOS病毒 所需的常用工具有DOS下的DEBUG.EXE , TR.E
10、XE等。下面分别介绍一下COM和EXE 文件的清除方法。COM文件的结构比较简单所以现介绍一下简单的COM文件的清除方法:其实COM文件就是一个由计算机指令的二进制码顺序排列成的二进制文件,当被操作系统 装载到内存时,整个文件被装载在代码段偏移为100 (在本文章中所有的偏移,和数值都是十六进制)的地方, 然厉就开始执行。人部分的COM病毒都是感染文件尾部的,病毒在感染文件时要将程序的入1丨(偏移为100处) 改成一条JMP指令,通过此条指令跳到病毒体中,已达到让程序在启动时先去执行病毒体的目的。病毒为了保证 a己的隐蔽性,都是要把本身执行完以厉再去执行正确的程序部分,因此感染文件尾部的病毒都
11、要将它改掉的程 序入口部分(偏移为100处)的数据事先保存的病毒体内,在执行病毒体时将程序入口(偏移为100处)数据恢 复,当病毒执行完了以后再跳到100处去执行正确的程序,我们为了恢复被病毒感染的文件就要确定此段数据在 病毒体内的偏移和长度,并将它恢复,然后再确定病毒体的长度并将其从文件中删除。在分析时如果发现病毒体 向100处写了儿个字节的数据的话那么就是说明病毒在恢复100处的正确指令,例如:以卜儿条指令MOVDI,0100MOVSI,4300MOVCX,0005REPMOVSB从以上的指令可以看出病毒将在4300处的五个字节的数据恢复到程序入口,4300处在文件中相对于文件头的 偏移是
12、4200 (因为文件在内存中是从100处开始加载的),我们就可以利用十六进制编辑器将文件中的4200处开 始的五个字节拷贝到文件头部。这些做完后病毒体就变成了一段永远不会被运行的僵尸程序,被恢复的文件就可 以正常运行了,但是无论做么事我们都要尽善尽美,下面我们在将病毒体清除。在分析病毒时如果发现有写文件 的指令时就说明是病毒用这些指令感染文件,在这里就可以发现病毒的长度,例如文件写操作的指令MOVAH,40MOVCX,38EINT21从 MOV CX,38E 这条指令就可以看出病毒的长度为38e,然后我们将文件尾部的38e个字节清掉。到 此我们已经成功的清除了一个COM病毒。下面讲一下如何清除
13、EXE文件的病毒。EXE文件的清除方法比较复杂,这是因为EXE文件结构比较复杂,由于篇幅的限制我不能太详细的讲解EXE 文件的结构,只能简单的介绍一卜和清除简单的EXE病毒有关的那部分,有兴趣的读者可以查阅一卜有关EXE 文件结构的资料。EXE文件在装载吋并不是向COM那样简单,EXE文件装载后的CS和IP, SS和SP是由EXE 文件头部的数据决定的。具体如下:在文件头部起始0E,0F是:在装载时的SS段的偏移。在文件头部起始10,11是:装载后的SPo在文件头部起始14,15是:装载厉的IP。在文件头部起始16,17是:在装载吋的CS段的偏移。在这里的 OE,OF和16,17并不是SS,C
14、S装载后的值,真正的值要通过计算才能得到,具体的计算方法如F:CS = 在装载时的CS段的偏移+ DS和ES+10;SS = 计算得到的CS+10;Z所以要介绍这些是因为大部分的病毒要将以上的值改掉,使程序装载后的cs:ip指向病毒体的第一条指令, 已达到让程序在启动时先去执行病毒体的目的。同COM病毒一样EXE病焉为了保证ti己的隐蔽性,也是要把本 身执行完以后再去执行正确的程序部分,病毒利用事先保存的以上的四组数据和以上的算法将当前的 CS, IP 修改到正确的程序入口。我们为了恢复被病毒感染的文件就要确定这些数据在病毒体内的偏移,然后将它恢复。 确定被病毒保存的数据的方法就是在病毒体中找
15、到以上的算法的指令,在这些指令中就能得到别保存的数据的位置。例如:movax,esaddax,10addcs:bp+00b7,axmovsp,cs:bp+00b9addax,cs:bp+OObbmovss,axjmp0345:0038以上的指令中bp+O()b7就是jmp 0345:0038中0345的地址,0345, 0038就是病毒保存的CS, IP3说道这人 家应该知道如何恢复这个文件了吧!确定病毒长度地方法和COM病毒相同,就不重复了。上 上广 i fl (1 匚 $ : JaLJ 匕* I I * *7*ill Ar* | t I ,1个个个个 6 个个个个个个个个个个个个个个个 6 个个个个个个个个个个个个个个个个个个个个个个个T个 T 个个个 T 个T个 666 个 6个T个个个于个个个个个 6 个个个个个个个个个 -X- fttr力口 llili *LI I f 注册表相关基础知识:从Windows 95开始,Microsoft在Windows中引入了注册表(英文为REGISTRY)的概念(实际上原来在Windows NT中已有此概念)
