新闻中心

当前位置:首页 > 新闻中心
关于隐藏目录病毒(1KB病毒)的深入讨论
[ 所属分类: 常见问题   日期:2011/3/12  人气:4528 ]

09 年网上开始流行的隐藏文件夹病毒已经有好多年了,一直没遇到过,前几天一个老师的电脑突然中了这种病毒,里面的文件夹全部丢失了,客户自己也知道中了传说中的 1KB 病毒,于是从网上下了杀毒软件对整个磁盘进行了病毒查杀在查杀完后文件还是没有恢复。之后,又尝试过用 easyrecover 来进行恢复,恢复过后能看见一部分文件跟文件夹,但是所有的文件都是显示为 1KB 大小根本打开不了。接盘后第一感觉是电脑中病毒了,但病毒具体怎么破坏的数据我们还得慢慢分析。

winhex 打开分区,在 winhex 下所有的目录和文件都能打开。尝试恢复一个文件到桌面,在系统下打开文件都是正常的,再恢复一个根目录下的文件夹到桌面,在系统下打开里面一个文件也没有,但是在 winhex 中明明能看到有很多数据的,右击文件夹属性,发现文件夹大小描述是占用空间的,初步怀疑是文件是被病毒程序给隐藏了,在资源管理器下面选择工具——》文件夹选项——》查看——》显示隐藏文件,结果文件夹下面还是看不到文件。

重新进 winhex 进行分析,既然在 winhex 下面能看到文件应该说明索引关系式正确的,那为什么还是不显示呢?为了证实自己的想法,现在我们跳转到
根目录下面的一个目录(如图 1 ),分析其 . .. 目录项发现 . 目录项的指向簇号为 0X15 (换算为 10 进制为 21 ),我们从图片框中左边显示当前簇号为 21 ,因此 . 目录项指向是正确的,再来分析 .. 目录项为 0 ,说明其指向为根目录, .. 目录项也正确,跳转到根目录搜索文件名,根据偏移 1415 1A 1B 字节可得到起始簇号为 21 ,因此文件间的上下索引链接关系都是正确的,
 

 

 

1:根目录下的一个文件夹视图

 

那现在就只剩一种可能了,就是病毒通过改写文件夹的属性使其隐藏了,打开其中一个短目录项,分析偏移 0X0B 处的字节发现最后倒数第二个 bit 位为 1 即表示目录是被隐藏的,分析了几个目录项发现都是被隐藏的:

 

 

2:其中的一个短目录项截图

 

看来只能通过首先写批处理文件进行处理了,批处理文件代码如下: attrib *.* -r -s -h /s /d

因为这个盘中的病毒程序算法不是太复杂,在这个盘每个分区下面运行批处理所有的数据都出来了,经老师验证一个文件不少。

 

题外话:据说也有那种特别厉害的病毒,运行脚本和查杀病毒根本是不管用的,(本人对系统不是太了解,只能怀疑是写程序的人是通过调用系统的进程来运行程序的,即只要你用系统了就绕不过病毒,只是猜测的,还望大家多多讨论验证)。此时对做数据恢复来说还有一个比较极端的做法(呵呵,如果你不嫌麻烦的话可以把文件一个个给拷出来),一般的做法是就先把 MBR给备份出来,然后把所有分区删掉重装系统。杀完毒之后再把分区表填回去,此时再在每个分区下面运行 attrib *.* -r -s -h /s /d 所有数据就会出来了,当然 C 盘的除外,我想一般人不会把重要数据存在 C 盘吧!

返回顶部    返回