计算机病毒清除及系统恢复论.doc

资源描述

【摘要】随着计算机及计算机网络的发展，伴随而来的计算机病毒传播问题越来越引起人们的关注。随因特网的流行，有些计算机病毒借助网络爆发流行，给计算机网络和系统带来了巨大的潜在威胁和破坏。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到各国的高度重视。为了确保信息的安全与畅通，因此，研究计算机病毒的防范措施已迫在眉睫。本文从计算机的特点入手，来初步探讨研究计算机病毒的方法和措施。本文主要论述了病毒的由来、病毒的生存方式、传播方式、破坏和目的以及计算机病毒的防御和治理等分析。通过深入分析，来对计算机病毒进行全面的了解，初步探讨对付计算机病毒的方法和措施。【关键词】计算机、防御、病毒目录前言4第一章计算机病毒的介绍5 第一节计算机病毒概述5 一、计算机病毒的内涵5 二、计算机病毒的类型5第二节计算机病毒特征7 一、计算机病毒的特征7第二章计算机病毒分析8 第一节计算机病毒分析8 一、病毒主要表现和破坏行为8 二、病毒存储结构分析8 第二节病毒入侵分析9 一、病毒入侵方式9 二、病毒的传播方式10第三章病毒的防治12 第一节网络病毒的防御12 一、网络病毒防御的常识12 第二节病毒的治理13 一、计算机病毒的治理措施13第四章计算机病毒的检测与清除15 第一节计算机病毒的检测15 一、病毒的检测方法15 第二节计算机病毒的清除16 一、病毒的清除16第五章计算机系统的修复17 第一节病毒感染修复处理方法17 一、计算机病毒感染后的一般修复处理法17第二节恢复被病毒破坏的硬盘数据18 一、基础知识18 二、一个基本恢复被CIH破坏硬盘数据的例子19 三、经验总结21 第三节计算机系统修复应急计划22 一、人员准备22 二、应急计划的实施步骤22 三、善后工作23结论 24结束语25参考文献26前言随着计算机在社会生活各个领域的广泛运用，计算机病毒攻击与防范技术也在不断拓展。据报道，世界各国遭受计算机病毒感染和攻击的事件数以亿计，严重地干扰了正常的人类社会生活，给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时，病毒技术在战争领域也曾广泛的运用，在海湾战争、科索沃战争中，双方都曾利用计算机病毒向敌方发起攻击，破坏对方的计算机网络和武器控制系统，达到了一定的政治目的与军事目的。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到各国的高度重视。目前计算机病毒可以渗透到信息社会的各个领域，给计算机系统带来了巨大的破坏和潜在的威胁。为了确保信息的安全与畅通，因此，研究计算机病毒的防范措施已迫在眉睫。本文从计算机的特点入手，来初步探讨对付计算机病毒的方法和措施。病毒防治，运用以上技术或使用具有相应功能的反病毒软件即可基本保障计算机系统不受病毒的侵扰。相对于单机病毒的防护来说，网络病毒的防治具有更大的难度，网络病毒防治应与网络管理集成。网络防病毒最大的优势在于网络的管理功能，如果没有把管理功能加上，很难完成网络防毒的任务。只有管理与防范相结合，才能保证系统的良好运行。第一章计算机病毒的介绍第一节计算机病毒的概述1一、计算机病毒的内涵由于计算机病毒隐藏在合法用户文件中，因此病毒程序的执行也是对系统功能的合法调用。关于计算机病毒，人们有以下3个基本观点：计算机病毒是人为制造的具有破坏性的程序。计算机病毒的运行是非授权入侵。计算机病毒可以隐藏在可执行文件或数据文件中。计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。二、计算机病毒类型1、宏病毒 (Macro Virus)宏病毒是目前最热门的话题, 它主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word, Excel, AmiPro都相继传出宏病毒危害的事件。2、引导型病毒 (Boot Strap Sector Virus)又称开机型病毒，是藏匿和感染软盘或硬盘的第一个扇区，即平常我们所说的引导扇区(Boot Sector)。引导型病毒籍由引导动作而侵入内存。引导型病毒又可以分为：传统引导型病毒隐型引导型病毒，隐型引导型病毒感染的是硬盘的引导扇区，它伪造引导扇区的内容，使防毒软件以为系统是正常的。目录型引导病毒，目录型引导病毒只感染电脑的文件分配表(FAT)，一旦你的文件分配表被破坏后，你的电脑中的文件读写就会不正常，甚至丢失文件。3、文件型病毒 (File Infector Virus)文件型病毒通常寄生在可执行档(如 *.COM, *.EXE等)中。当这些文件被执行时，病毒的程序就跟着被执行。文件型的病毒依传染方式的不同，又分成非常驻型以及常驻型两种：非常驻型病毒(Non-memory Resident Virus)非常驻型病毒将自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。当这些中毒的程序被执行时，就会尝试地去传染给另一个或多个文件。常驻型病毒(Memory Resident Virus)常驻型病毒躲在内存中，其行为就好像是寄生在各类的低阶功能一般(如 Interrupts)，由于这个原因，常驻型病毒往往对磁碟造成更大的伤害。第二节计算机病毒的特征2一、计算机病毒的特征1、传染性病毒可以通过生物体之间的直接或间接接触从一个生物体进入另一个生物体，并且使得遭到传染的生物体成为病毒的新传染源。2、流行性由于病毒的传染性，所以病毒具有流行性。3、繁殖性在特定生物环境下不断地进行自我繁殖。4、表现性受病毒感染的生物体都不同程度地表现出一定的症状。5、针对性病毒的传染一般都会针对特定的对象。计算机病毒与生物病毒几乎具有完全相同的特性。所不同的是，计算机病毒不是微生物，而是一个可执行的计算机程序。生物病毒是利用生物体之间的直接或间接接触并通过一定的媒介（如空气、食物、水等）传染的，而计算机病毒是利用数据或信息的存贮媒介（如磁盘）通过网络或磁盘传染的。病毒在企业内部的传播如图1.1所示。图1.1病毒在企业内部的传播第二章计算机病毒分析第一节计算机病毒分析一、病毒主要表现和破坏性为机器的运行速度明显变慢。机器硬件没有问题，机器却频繁死机。对文件或数据进行修改，如修改文件名称、改写文件内容、甚至删除文件。机器不能识别和进入硬盘，或硬盘不能引导系统使我们不能使用硬盘。机器或文件被自动加密，本来无密码的机器，开机时却出现“请输入密码”。设备的内存空间被无故占用，不能运行原来可以运行的程序文件。引导区或DOS的命令外壳文件受攻击。对打印机打印的破坏，如使打印机打印速度变慢、打印出现异常字符、在调入汉字驱动程序后不能打印汉字等。机器的显示屏幕被骚扰，莫名其妙地出现一些字符或者演奏音乐等二、病毒的存储结构分析对于计算机病毒的存储结构来说，不同类型的病毒，在磁盘上的存储结构是不同的。磁盘空间的总体划分经过格式化后的磁盘包括：主引导记录区（只有硬盘有）、引导记录区、文件分配表（FAT）、目录区和数据区。主引导记录区和引导记录区中存有DOS系统启动时所用的信息。文件分配表（FAT）是反映当前磁盘扇区使用状况的表。1、软盘空间的总体划分当使用DOS的外部命令FORMAT格式化一张软盘后，不仅把磁盘划分为若干磁道，每一磁道划分为若干扇区，而且同时把划分的扇区分为五大区域，它们分别是引导记录区、文件分配表1、文件分配表2、根目录区以及数据区。对于软盘只有一个引导区，引导区在磁盘的0面0道1扇区，它的作用是在系统启动时负责把系统两个隐含文件IO.SYS和MSDOS.SYS装入内存，并提供DOS进行磁盘读写所必需的磁盘I/O参数表。文件分配表（FAT表）是反映磁盘上所有文件各自占用的扇区的一个登记表，此表非常重要。2、硬盘空间的总体划分对于不同类型、不同介质的磁盘，DOS划分磁盘的格式是不同的。对于硬盘来说，由于其存储空间比较大，为了允许多个操作系统分享硬盘空间，并希望能从磁盘启动系统，DOS在格式化硬盘时，把硬盘划分为主引导记录区和多个系统分区。第二节病毒入侵分析3一、病毒入侵的方式 1、源代码嵌入攻击型从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。当然这类文件是极少数，因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序，况且这种入侵的方式难度较大，需要非常专业的编程水平。 2、代码取代攻击型这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块，这类病毒也少见，它主要是攻击特定的程序，针对性较强，但是不易被发现，清除起来也较困难。 3、系统修改型这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。 4、外壳附加型这类病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。二、病毒的传播方式计算机病毒具有自我复制和传播的特点，因此，研究计算机病毒的传播途径是极为重要的。从计算机病毒的传播机理分析可知，只要是能够进行数据交换的介质都可能成为计算机病毒传播途径。传统的手工传播计算机病毒的方式与现在通过Internet传播相比速度要慢得多。1、不可移动的计算机硬件设备这些设备通常有计算机的专用ASIC芯片和硬盘等。这种病毒虽然极少，但破坏力却极强，目前尚没有较好的检测手段对付。 2、移动存储设备可移动式磁盘包括软盘、CD-ROM（光盘）、磁带、优盘等其中软盘是使用广泛、移动频繁的存储介质，因此也成了计算机病毒寄生的“温床”。盗版光盘上的软件和游戏及非法拷贝也是目前传播计算机病毒主要途径之一。随着大容量可移动存储设备如Zip盘、可擦写光盘、磁光盘（MO）等的普遍使用，这些存储介质也将成为计算机病毒寄生的场所。硬盘是现在数据的主要存储介质，因此也是计算机病毒感染的重灾区。硬盘传播计算机病毒的途径体现在：硬盘向软盘上复制带毒文件，带毒情况下格式化软盘，向光盘上刻录带毒文件，硬盘之间的数据复制，以及将带毒文件发送至其他地方等。在移动存储设备中，软盘是使用最广泛移动最频繁的存储介质，因此也成了计算机病毒寄生的“温床”。3、计算机网络现代信息技术的巨大进步已使空间距离不再遥远，“相隔天涯，如在咫尺”，但也为计算机病毒的传播提供了新的“高速公路”。计算机病毒可以附着在正常文件中通过网络进入一个又一个系统，国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。在我们信息国际化的同时，我们的病毒也在国际化。第三章病毒的防治第一节网络病毒的防御一、网络病毒防御的常识用常识进行判断。决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。安装防病毒产品并保证更新最新的病毒定义码。我们建议您至少每周更新一次病毒定义码，因为防病毒软件只有最新才最有效。当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫描，以确保它尚未受过病毒感染。领先的防病毒软件供应商现在都已将病毒扫描作为自动程序，当用户在初装其产品时自动执行。确保你的计算机对插入的软盘、光盘和其他的可插拔介质。及对电子邮件和互联网文件都会做自动的病毒检查。不要从任何不可靠的渠道下载任何软件。因为通常我们无法判断什么是不可靠的渠道，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。警惕欺骗性的病毒。如果你收到一封来自朋友的邮件，声称有一个最具杀伤力的新病毒，并让你将这封警告性质的邮件转发给你所有认识的人，这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商，证实确有其事。使用其他形式的文档，如RTF（Rich Text Format）和PDF（Portable document.nbspFormat）。常见的宏病毒使用Microsoft Office的程序传播，减少使用这些文件类型的机会将降低病毒感染风险。尝试用Rich Text存储文件，这并不表明仅在文件名称中用RTF后缀，而是要在Microsoft Word中，用“另存为”指令，在对话框中选择Rich Text形式存储。尽管Rich Text Format依然可能含有内嵌的对象，但它本身不支持Visual Basic Macros或Jscript。而PDF文件不仅是跨平台的，而且更为安全。当然，这也不是能够彻底避开病毒的万全之计。不要用共享的软盘安装软件，或者是复制共享的软盘。这是导致病毒从一台机器传播到另一台机器的方式。禁用Windows Scripting Host。Windows Scripting Host(WSH) 运行各种类型的文本，但基本都是VBScript或Jscript。使用基于客户端的防火墙或过滤措施。如果你使用互联网，特别是使用宽带，并总是在线，那就非常有必要用个人防火墙保护你的隐私并防止不速之客访问你的系统。第二节病毒的治理一、计算机病毒的治理措施1、建立有效的计算机病毒防护体系有效的计算机病毒防护体系应包括多个防护层。一是访问控制层；二是病毒检测层；三是病毒遏制层；四是病毒清除层；五是系统恢复层；六是应急计划层。上述六层计算机防护体系，须有有效的硬件和软件技术的支持，如安全设计及规范操作。2、严把收硬件安全关国家的机密信息系统所用设备和系列产品，应建立自己的生产企业，实现计算机的国产化、系列化；对引进的计算机系统要在进行安全性检查后才能启用，以预防和限制计算机病毒伺机入侵。3、防止电磁辐射和电磁泄露采取电磁屏蔽的方法，阻断电磁波辐射，这样，不仅可以达到防止计算机信息泄露的目的，而且可以防止“电磁辐射式”病毒的攻击。4、加强计算机应急反应分队建设应成立自动化系统安全支援分队，以解决计算机防御性的有关问题。早在1994年，美国软件工程学院就成立了计算机应急反应分队。计算机病毒攻击与防御手段是不断发展的，要在计算机病毒对抗中保持领先地位，必须根据发展趋势，在关键技术环节上实施跟踪研究。实施跟踪研究应着重围绕以下方面进行：一是计算机病毒的数学模型。二是计算机病毒的注入方式，重点研究“固化”病毒的激发。三是计算机病毒的攻击方式，重点研究网络间无线传递数据的标准化，以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。四是研究对付计算机病毒的安全策略及防御技术。第四章计算机病毒的检测和清除第一节计算机病毒的检测一、病毒的检测方法51、特征代码法特征代码法是检测已知病毒的最简单、开销最小的方法。它的实现是采集已知病毒样本。病毒如果既感染COM文件，又感染EXE文件，对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。2、校验和法将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。3、行为监测法利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。4、软件模拟法多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做消毒处理。第二节计算机病毒的清除一、病毒的清除671、删除可疑的启动程序查看系统启动程序和注册表是否存在可疑的程序后，判断是否中了木马，如果存在木马，则除了要查出木马文件并删除外，还要将木马自动启动程序删除。2、恢复win.ini和system.ini系统配置文件的原始配置许多病毒会将win.ini和system.ini系统配置文件修改，使之能在系统启动时加载和运行木马程序。3、停止可疑的系统进程木马程序在运行时都会在系统进程中留下痕迹。通过查看系统进程可以发现运行的木马程序，在对木马进行清除时，当然首先要停掉木马程序的系统进程。4、修改注册表查看注册表，将注册表中木马修改的部分还原。5、使用杀毒软件和木马查杀工具进行木马查杀常用的杀毒软件包括KV3000、瑞星、诺顿等，这些软件对木马的查杀是比较有效的，但是要注意时刻更新病毒库，而且对于一些木马查杀不彻底，在系统重新启动后还会自动加载。第五章计算机系统的修复第一节病毒感染修复处理方法78一、计算机病毒感染后的一般修复处理方法首先必须对系统破坏程度有一个全面的了解，并根据破坏的程度来决定采用有效的计算机病毒清除方法和对策。如果受破坏的大多是系统文件和应用程序文件，并且感染程度较深，那么可以采取重装系统的办法来达到清除计算机病毒的目的。而对感染的是关键数据文件，或比较严重的时候，比如硬件被CIH计算机病毒破坏，就可以考虑请防杀计算机病毒专家来进行清除和数据恢复工作。修复前，尽可能再次备份重要的数据文件。目前防杀计算机病毒软件在杀毒前大多都能够保存重要的数据和感染的文件，以便能够在误杀或造成新的破坏时可以恢复现场。但是对那些重要的用户数据文件等还是应该在杀毒前手工单独进行备份，备份不能做在被感染破坏的系统内，也不应该与平时的常规备份混在一起。启动防杀计算机病毒软件，并对整个硬盘进行扫描。某些计算机病毒在Windows 95/98状态下无法完全清除（如CIH计算机病毒），此时我们应使用事先准备的未感染计算机病毒的DOS系统软盘启动系统，然后在DOS下运行相关杀毒软件进行清除。发现计算机病毒后，我们一般应利用防杀计算机病毒软件清除文件中的计算机病毒，如果可执行文件中的计算机病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序。杀毒完成后，重启计算机，再次用防杀计算机病毒软件检查系统中是否还存在计算机病毒，并确定被感染破坏的数据确实被完全恢复。对于杀毒软件无法杀除的计算机病毒，还应将计算机病毒样本送交防杀计算机病毒软件厂商的研究中心，以供详细分析。第二节恢复被病毒破坏的硬盘数据一、基础知识1、DOS兼容系统硬盘数据的构成主分区和扩展分区结构基本相似，以下以主分区为例。主引导记录（MBR）：MBR占一个扇区，在0柱面0面1扇区，由代码区和分区表构成。其中代码区可以由FDISK /MBR重建。系统扇区：0柱面0面2扇区到0柱面0面63扇区，共62个扇区。引导扇区（BOOT）：0柱面1面1扇区。这是我们过去称的DOS引导区。也占一个扇区。隐藏扇区：0柱面1面1扇区开始，如果是FAT16那么占一个扇区，如果是FAT32则由此占32个扇区。文件分配表（FAT）：每个有效的FAT结构区包含两个完全相同的拷贝：FAT1、FAT2， FAT16的第一FAT表一般均在0柱面1面2扇区，FAT32的第一FAT表在0柱面0面33扇区。FAT表是记录文件占用扇区连接的地方，如果两个FAT表都坏了，后果不堪设想。由于FAT表的长度与当前分区的大小有关所以FAT2 的地址是需要计算的。FAT16的每个表项由2字节（16位）组成，通常每个表项指向的簇包含64个扇区，即32Kb字节。逻辑盘容量最大为2047MB。FAT32的每个表项由4字节（32位）组成，通常每个表项指向的簇包含8个扇区，即4Kb字节。逻辑盘容量最小为2048MB。根目录扇区（ROOT）：这里记录了根目录里的目录文件项等，ROOT区跟在FAT2后面。数据区：跟在根目录扇区后面，这才是真正保存文件内容的地方。2、主引导记录简单说明主引导记录是硬盘引导的起点，其分区表中比较重要的有3个标志，在偏移0x01BE处的字节，0x80 表示系统可引导，且整个分区表只能有一个分区的标志为0x80；对于C分区，在偏移0x01C2处的字节，FAT16为0x06，FAT32为0x0C；结尾的0x55 0xAA标记，用来表示主引导记录是一个有效的记录。二、一个基本恢复被CIH破坏硬盘数据的例子 9其实，无论主引导记录还是隐含扇区还是启动扇区，都不重要，这些扇区的重建都比较容易。对数据恢复来说，能否成功的找回数据文件是重要的。另外，由于FAT表记录了文件在硬盘上占用扇区的链表，如果2个FAT表都完全损坏了。那么恢复文件，特别是占用多个不连续扇区文件就相当困难了。恢复被CIH破坏的硬盘数据的基本思路是：FAT2没有损坏的情况，用FAT2覆盖FAT1。 FAT2也已经损坏的情况，一般是只期待找回其中某些关键的文件了。我们最期待的是这些文件是连续的。如果不连续的话，也并非没有可能，但这往往还要知道文件的一些细节，包括对一些文件本身的连接结构有了解。如果FAT2没有完全破坏，还是有一定用处的，另外，一般来说，FAT16的硬盘因为FAT表扇区比较靠前，破坏的比较严重，一般两个FAT表都会被破坏了，恢复起来比较困难。另外小容量的硬盘也是很难恢复。在进行数据恢复之前准备好软盘3张： DISK1 ：WIN98启动盘（带DEBUG.EXE） DISK2：NORTON DISKEDIT等工具（此盘不要写保护） DISK3：DOS下杀CIH的工具找一台完好无损的计算机，将待恢复的的硬盘接上，开机，进入SETUP，检测硬盘，把参数记下：CLY 620 HEAD 128 PRECOMP 0 LANDZ 4959 SECTOR 63 MODE LBA 用准备好的软盘启动并输入：A:C: 显示Invalid drive specification（无效的盘标识符）用FDISK /MBR命令重建主引导记录，并重新用软盘引导。此时已经看的见C:硬盘。运行DISKEDIT，启动过程中显示Invalid media type reading DRIVER C。用DEBUG 清空分区表，并置0x80和0x55 0xAA标志。重新启动，再运行DISKEDIT，显示设定为READ ONLY，没关系，把CONFIGURATION中的只读选项去掉，存盘，好了，可以编辑了。我们期待FAT2没有损坏，以用FAT2覆盖FAT1，在这个时候DISKEDIT要比DEBUG容易的多，在FIND OBJECT中选择 FAT，查一下起始扇区，在0柱面68面14扇区，偏移0x0000的字节：F8 FF FF 0F （FAT32的）。该项显示表明FAT2没坏。其实如果不用DISKEDIT的可以用DEBUG查，偏移0000的F8 FF FF 0F。记下了该扇区：0柱面68面14扇区备用。FAT1一般前面已经被破坏了，但后面应该还在，这可以作为检查。因为是32位的，FAT1 一般在0柱面1面33扇区。接下来再在DISKEDIT的FIND中查找IO SYS（IO 和SYS中要有空格）以查找根目录扇区（ROOT）。找到后观察，是否有C: 下常见文件，以确定根目录扇区没被破坏。有了根目录扇区后就该计算FAT表的长度了，因为FAT2是到ROOT前一扇区为止且FAT1和FAT2的长度相同，所以可以非常简单地计算出FAT表的长度。然后可以用FAT2覆盖FAT1，这里用DEBUG还是DISKEDIT都可以，如果用DEBUG一般是用INT 25读绝对扇区，再用INT 26写入，不过可能要分几次。用DISKEDIT可以标记FAT2的内容，然后复制下来，再写到FAT1。然后可以恢复主引导记录、隐含扇区和启动扇区。可以先用NDD 修复分区表，然后可以考虑用标准覆盖法，如果你希望下一步由NORTON Utilities来接手，这些都可以不做。用软盘启动后用NORTON Utilities扫描C盘，文件基本恢复。对C盘杀毒后，就基本完成对启动盘的修复工作。然后再修复D盘。再回到DOS，用DEBUG查找结束标志为55AA 的扇区，由结构判定是否为扩展分区。并算出大小来添入分区表。当然，DISKEDIT等工具可以很好的完成这一工作。三、经验总结恢复数据要本着几项原则：先备份；优先抢救最关键的数据；在稳妥的情况下先把最稳定的鸡蛋捞出来，理应先修复扩展分区，再修复C，最好修复一部分备份一部分；要先作好准备，不要忙中出错。其实看来，如果FAT2没有损坏的情况下，恢复C盘数据是非常容易的，可以编程实现。如果FAT2损坏了，最容易恢复的当然是只占用一个扇区的小文件和连续占用扇区的文件；如果扇区占用不连续的，比较容易恢复的是文本文件。在此需要提醒读者，如果您没有具备相当的专业知识，千万不要轻易尝试，否则可能会造成数据的彻底无法恢复。大多数情况下应该请计算机病毒防范专家来恢复被计算机病毒破坏的硬盘中的数据。第三节计算机系统修复应急计划10就象解决计算机2000年问题一样，对计算机病毒实施的技术防范，任何一个小小的隐患，都可能导致巨大的损失。所以，防范计算机病毒工作也需要制定应急计划，一旦发生了计算机病毒发作，按预定的应急计划行事，将可能造成的损失降到最小程度。一个应急计划必须包括人员、分工以及各项具体实施步骤和物质准备。一、人员准备首先需要指定一个全局的负责人，一般由领导担当，负责各项工作的分和协调。参加应急工作的人员一般应包括：网络管理员、技术负责人员、设备维护管理人员和使用者（用户）或值班用户。同时，在发现新的计算机病毒疫情后，可以通过防杀计算机病毒厂商及寻求计算机病毒防范专家的支持。二、应急计划的实施步骤应急计划中必需包括的主要工作有：对染毒的计算机和网络进行隔离由网络管理员完成，网络使用者提供信息，辅助实施。向主管部门汇报计算机病毒疫情一般可以由全局负责人向计算机病毒防范主管部门，或者计算机病毒防范体系中心汇报计算机病毒疫情，包括发作的时间、规模、计算机病毒名称、传播速度以及造成的破坏。确定计算机病毒疫情规模通常由技术负责人员和网络使用者完成这项工作，可以在不扩大传染范围的情况下与隔离工作同步进行。破坏情况估计及制定抢救策略在全局负责人的领导和计算机病毒防范专家的指导下，由全体人员参加，确定破坏的情况以及制定抢救策略，如重装系统、恢复备份等方法。实施计算机网络系统恢复计划和数据抢救恢复计划在计算机病毒防范专家的指导下，由系统管理员、设备维护管理人员和使用者共同实施恢复计划和数据抢救计划。三、善后工作将网络恢复正常运作，并总结发生计算机病毒疫情后的应急计划实施情况和效果，不断修改应急计划，使得它能够根好地解决问题，降低损失。此外，在应急计划中还必需包括救援物质、计算机软硬件备件的准备，以及参加人员的联络表等，以便使得发生计算机病毒疫情后能够迅速地召集人手，备件到位，快速进入应急状态。结论随着现在计算机网络的发展，计算机应用在现在社会的各个领域，计算机病毒攻击与防范技术也在不断拓展。因此，算机病毒攻击与防御手段是不断发展的，要在计算机病毒对抗中保持领先地位，必须根据发展趋势，在关键技术环节上实施跟踪研究。本文主要通过论述了病毒的由来、病毒的生存方式、传播方式、破坏和目的、检测方法以及计算机病毒的防御和治理等分析。主要有以下的几个建议来解决计算机病毒。一是计算机病毒的数学模型。二是计算机病毒的注入方式，重点研究“固化”病毒的激发。三是计算机病毒的攻击方式，重点研究网络间无线传递数据的标准化，以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。四是研究对付计算机病毒的安全策略及防御技术来加强对计算机病毒的防御和治理。结束语二年的大学生活就快走入尾声，我们的校园生活就要划上句号，心中是无尽的难舍与眷恋。从这里走出，对我的人生来说，将是踏上一个新的征程，要把所学的知识应用到实际工作中去。回首二年里，取得了些许成绩，生活中有快乐也有艰辛。感谢老师二年来对我孜孜不倦的教诲，对我成长的关心和爱护。学友情深，情同兄妹。两年的风风雨雨，我们一同走过，充满着关爱，给我留下了值得珍藏的最美好的记忆。在我的十几年求学历程里，离不开父母的鼓励和支持，是他们辛勤的劳作，无私的付出，为我创造良好的学习条件，我才能顺利完成完成学业，感激他们一直以来对我的抚养与培育。最后，我要特别感谢李璧老师，是她在我毕业的最后关头给了我们巨大的帮助与鼓励，使我能够顺利完成毕业设计，在此表示衷心的感激李璧老师认真负责的工作态度，严谨的治学精神和深厚的理论水平都使我收益匪浅，她无论在理论上还是在实践中，都给与我很大的帮助，使我得到不少的提高这对于我以后的工作和学习都有一种巨大的帮助，感谢她耐心的辅导。参考资料1韩筱卿，王建锋，钟玮，计算机病毒分析与防范大全，电子工业出版社，2006年3月2Peter Szor（美），计算机病毒防范艺术，机械工业出版社，2007年1月3曲鼎，王岗，PC实用之道病毒与黑客攻防，清华大学出版社，2006年9月4刘光杰，病毒克星，电子工业出版社，2006年95英国，国际互连网病毒新闻，机械工业出版社，2007年9月6汤姆杰，防治病毒情缘，武汉大学出版社，2005年6月7电脑报 2006合订本（上、下册），西南师范大学出版社，2006年12月8邓志华，朱庆，网络安全与实践教程，合肥工业大学出版社，2005年12月9宁蒙，网络信息安全与防范技术，东南大学出版社，2005年06月10张小磊，计算机病毒诊断与防治，中国环境科学出版社，2003年8月11程胜利，谈冉，熊文龙，计算机病毒及其防治技术，清华大学出版社，2004年8月12张洁，计算机病毒防治与信息安全知识300问，冶金工业出版社，2005年7月

展开阅读全文