第17部分(第2/4 頁)

，好在這時，分析結果出來了。

第34章　分析病毒

對硬碟主開機記錄的分析結果顯示，硬碟的主開機記錄已經被病毒篡改了，肖遠仔細分析了主開機記錄的分析報告，加上自己經驗進行推測，基本上搞明白了這個病毒的工作原理：主開機記錄中內建了一段判斷程式，這段判斷程式會首先探測計算機的網路埠是否開放，如果開放的話，他會將自身以廣播的形式向網路上發散，如果沒有開放，那麼他將不會主動進行網路傳播，轉入下一流程，對硬碟進行檢測，判斷硬碟是否被cih病毒所感染，如果被感染了，他就會把自己隱藏起來，沒有任何動作。

如果判斷程式發現系統沒有被感染，那麼，它會將在硬碟末尾一塊很小的隱藏分割槽中儲存的cih病毒原體，複製到系統資料夾中，並設定為隨系統自動啟動，做完這一切後，它又會把自己隱藏起來，系統在啟動時，cih病毒隨之執行，對系統檔案進行感染，接下來對系統的破壞工作，就交給cih病毒進行了。

這個判斷完全是建立在硬碟中有完整的windows系統的情況下進行的，如果它發現系統中沒有作業系統，也就是說硬碟可能被格式化了，那麼這個判斷程式就會執行一段和cih病毒儲存在同一隱藏區域的另一個程式，這個程式肖遠根據先前的情況推斷，應該就是那個遊戲程式。

從邏輯上來說，這段判斷程式的工作原理並不是特別複雜，所以，肖遠很容易就做出了上面的那些推斷。

退出了硬碟分析程式，肖遠又執行了一款磁碟分割槽管理軟體，這款軟體比系統自帶的那個fdisk要強大一些，能夠探查出那些fdisk無法發現的隱藏分割槽，執行後，軟體給出了一個磁碟系統分割槽表清單，果然，在最後有一個只有一兆的隱藏分割槽，cih病毒原體和先前他們玩的那個字母遊戲程式就隱藏在這裡。

這時，肖遠突然想到，剛才唐新宇對磁碟進行分割槽，用的是系統內建的分割槽命令fdisk，那麼，他對那些硬碟分完區後，這個小隱藏分割槽應該沒有被破壞掉，不過一來因為這個分割槽是隱藏的，二來，這個分割槽記憶體儲的病毒需要主開機記錄的程式提取才能執行，那些學生機的電腦上，即使還留著這個分割槽，裡面的病毒也變成了死物，沒有了發作機會而已。

為了驗證自己的想法，肖遠拿了一塊還沒有裝到計算機上的學生機硬碟檢測了一下，果然，唐新宇重新分割槽後，只是把主開機記錄中的那個判斷程式給破壞掉了，磁碟末尾的那個隱藏分割槽還在，肖遠順手把這個分割槽給刪除了，裡面的病毒也隨之被徹底銷燬。

唐新宇還在繼續幹著他的活，但是也在密切注意著肖遠這邊，他看到肖遠拿起了他分過區的一塊硬碟裝到電腦上，又進行了一番操作，於是趁著ghost克隆等待的時間，湊了過來。

“病毒還沒有殺掉？”

“嗯，還有一點殘留……”

肖遠把剛才的分析結果給唐新宇說了一遍，然後讓唐新宇在硬碟克隆的空閒時，把所有硬碟最後的那個隱藏分割槽給刪除掉，而他自己則把那個隱藏分割槽中的cih病毒原體給複製了出來，因為他做這一切都是在dos下進行的，而cih病毒感染不了dos，所以他並不擔心這一舉動會有什麼危險。

複製出來後，他將這個病毒進行了反彙編，然後開始研究這個病毒的彙編程式碼，看看它究竟是怎麼繞過自己設定的cih病毒免疫補丁的，研究了一會兒，突然笑著感嘆了一句：“原來是這麼回事，真野蠻啊！”

原版的cih病毒在感染計算機之前，會檢測機器是不是被感染過了，如果感染過了，病毒就不會重新進行感染，而肖遠設定的免疫補丁就是利用了這一點，在系統中偽造出一種被病毒感染的假象，從而達到騙過這個病毒的目的，但是這個被改造過的病毒卻是採用了一種很野蠻，但有效的方式，不管計算機有沒有感染，它都會重新感染一遍，這樣，肖遠設定的補丁自然就沒有了作用。

肖遠繼續分析病毒程式碼，發現病毒的發作時間被設定成了每週四上午十點半，而不是原來的4月26號，6月26號以及每月的26號，這才導致今天上午機房的機器病毒大爆發。

除了上面的這些改動外，這個病毒和原版的cih病毒並沒有什麼區別，所以肖遠在弄清楚它的工作原理後，就把它刪掉了。

這時候，唐新宇已經把所有學生機的系統都裝好了，最後的以藏分割槽也被他刪掉了，他閒下來後，也圍了過來，拉了把椅子坐到了肖遠的身邊看他