Khảo sát phần thân của virus One Half.

Một phần của tài liệu THIẾT KẾ CHƯƠNG TRÌNH CHỐNG VIRUS (Trang 61 - 62)

V. Các đặc điểm của F-VIRUS

4.Khảo sát phần thân của virus One Half.

Nh− vậy, chúng ta thấy phần thân của virus gồm 7 sector cuối trên track 0, side 0. Thông th−ờng, bảng Master Boot chuẩn th−ờng đ−ợc l−u ngay bên cạnh phần thân của virus, qua kiểm tra, tôi thấy Master Boot cũ đ−ợc l−u ngay tr−ớc phần thân của virus (tức ở sector thứ 8 tính từ cuối lên). Để khẳng định, tôi đã kiểm tra trên một số các máy tính với các dung

l−ợng ổ đĩa cứng khác nhau và kiểm tra giá trị tại offset 1Ch trong phần mã đầu của virus One Half trên các máy đó

- HDD 40 sec/track: Thân của virus l−u tại sector 34-40 Master Boot cũ l−u tại sector 33

Giá trị tại offset 1Ch trong phần mã đầu: 22h - HDD 17 sec/track: Thân của virus l−u tại sector 11-17

Master Boot cũ l−u tại sector 10

Giá trị tại offset 1Ch trong phần mã đầu: 0Bh - HDD 61 sec/track: Thân của virus l−u tại sector 55-61

Master Boot cũ l−u tại sector 54

Giá trị tại offset 1Ch trong phần mã đầu: 37h

Từ đó có thể suy ra rằng phần thân của virus gồm 7 sector cuối trên track 0, còn Master Boot cũ của máy đ−ợc l−u tại sector ngay tr−ớc đó. Điều này giúp cho quá trình khôi phục đĩa sau này.

Một số ng−ời cho rằng, thế là đủ! Chỉ cần dán đè Master Boot cũ của máy vào vị trí của nó (Side 0, Cyl 0, Sect 1) là xong. Cần hết sức thận trọng với thao tác này. Trong các virus đã gặp từ tr−ớc đến nay, có một số virus tiến hành mã hoá dữ liệu trên đĩa ở các mức độ khác nhau. Nếu máy đang thuộc quyền chi phối của virus, khi phải làm việc với dữ liệu trên các vùng đã bị mã hoá, virus sẽ giải mã vùng dữ liệu này và máy tính vẫn làm việc bình th−ờng, song nếu máy tính không bị virus chi phối, vùng dữ liệu đã bị virus mã hoá sẽ không thể làm việc bình th−ờng đ−ợc nữa. Trong thực tế gần đây, một số máy tính nhiễm virus One Half khi khởi động từ đĩa mềm sạch, hoặc giải quyết theo cách trên, một số vùng dữ liệu trên đĩa bị mã hoá: Một số file bị hỏng, một số th− mục con bị mã hoá thành "rác".

Điều đó có nghĩa là phải thận trọng tìm hiểu tr−ớc khi quyết định dán đè Master Boot cũ lên Master Boot hiện đang chứa virus.

Một phần của tài liệu THIẾT KẾ CHƯƠNG TRÌNH CHỐNG VIRUS (Trang 61 - 62)

(135 trang)