注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

失而复得 倍加珍贵

数据若有情,资料乃无价___羽码工作室

 
 
 

日志

 
 
关于我

羽码工作室欢迎您! 我们一直潜伏在IT世界里10多年,多年来,我们从普通的电脑爱好者开始,从专注到专业,一步一个脚印走到今天,为广大网友解决问题,乐在其中! 技术是用来解决问题的,没有最好,只有更好,每一点都要做到用心和专心,为你服务,为你提供问题的解决方案,当你的问题解决了,你快乐了,羽码工作室也跟着快乐。

网易考拉推荐

计算机病毒及其破坏后的数据恢复,如何进行修复?  

2014-09-13 12:46:44|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

1、计算机病毒的定义

计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。

2、计算机病毒的分类

根据计算机病毒的特点,从不同的角度出发,可以对计算机病毒进行不同的分类。

l    按传播对象分类 :

    1.引导型病毒

    引导型病毒的病毒体全部或部分寄生在磁盘引导区中。由于磁盘引导区只有512字节,所以对于较小的病毒可以全部寄生在引导区内。但对于长度超过512字节的病毒,它只能将病毒体的一部分保存在引导区内,剩余部分则存放于磁盘的其他位置。典型的引导型病毒如WYX病毒 .

2.文件型病毒

文件型病毒主要以感染文件扩展名为.COM.EXE等可执行程序为主。在运行被传染的可执行文件时,病毒程序的引导代码在正常程序之前获得控制权。病毒程序首先完成病毒体的调用,并为传染模块、激活模块加载到系统中,使它们被系统执行,然后再将控制权交还给正常程序。在病毒体加载后,病毒程序时刻监视系统的运行状况,一旦满足其传染条件或触发条件,病毒便被激活。典型的文件型病毒有黑色星期五病毒、CIH病毒。

3.混合型病毒

混合型病毒同时具备引导型和文件型两类病毒特征,又称综合型或复合型病毒。这类病毒既感染磁盘引导区,又感染可执行文件,这类病毒有极强的传染性,清除难度更大,并且常常因为杀毒不彻底,而造成病毒杀不死的假象,   对染有混合型病毒的机器,如果只清除了文件上的病毒,而没有清除硬盘引导区的病毒,系统引导时又将病毒调入内存,会重新感染文件;如果只清除了引导区的病毒,而可执行文件上的病毒没清除,一执行带毒文件时,就又将硬盘引导区感染。

按病毒特征分类

1.木马类病毒

2.蠕虫类病毒

3.黑客类病毒

4.宏病毒

5.脚本病毒

计算机病毒的寿命周期

计算机病毒的寿命周期表现为三个阶段:

1、激活阶段:即首次感染病毒的时间点。

2、复制阶段:这是病毒的传播阶段,病毒在这一阶段的目的就是尽量扩大感染范围。

3、发作阶段:根据预先设定的触发条件触发,实施破坏过程。

4、病毒破坏后的恢复

引导区病毒破坏现象及数据恢复

引导区病毒的感染途径:

使用带有引导区病毒代码的软盘或光盘引导系统.

代码同时会显示"Non-system disk or disk error"的消息。正是这个代码中隐藏着病毒的传染模块,当出现了Non-system disk or disk error错误消息的时候,感染已经发生。

感染WYX后的病毒的处理:

l    进入DOS状态下查杀病毒

   由于WYX感染系统引导区,因此要彻底清除此病毒需要通过引导盘启动到DOS状态下进行查杀。

WYX病毒对硬盘数据的破坏及恢复

l    可拿98系统引导盘引导后,运行 A>FDISK/MBR后,再重新原盘引导进行检测(只限win98系统)。

l    由于感染此病毒后会将磁盘的0扇(MBR)复制到61扇,63扇复制到60扇,后再将原位置的数据改写,导致系统启动时无法找到分区。若要通过手工修复我们可以找到6061扇的位置将其重新分别粘回63扇和0扇中即可。

CIH

传播途径

CIH病毒主要传播媒体是网络--因特网和局域网,光盘--主要是盗版光盘、软盘

CIH病毒只感染 Windows9x包括 Windows95Windows97Windows98以及在 Windows9x下运行的后缀为execomvxdvxe 的应用程序,并且连自解压文件均受感染。CIH病毒感染硬盘上的所有逻辑驱动器。

染毒后的特征

a)    感染CIH病毒后会出现如下症状:

b)   系统不能正常启动,硬盘灯长亮。

c)    应用程序不能正常运行,并莫明其妙地出现死机现象。系统不能正常关闭,当系统出现“Windows正在关机......”画面时会出现死机.

d)   感染CIH病毒的软件体积增大,程序被破坏。

感染CIH病毒后的处理方法:

如果出现 CIH病毒发作的症状,不要重新启动计算机从C盘引导系统,而应该及时进入CMOS设置程序,将系统引导盘设置为a盘然后A 盘引导系统,之后用杀毒软件引导进行病毒查杀。

CIH病毒对数据的破坏及修复方法:

l    CIH病毒对于硬盘数据的破坏主要是从磁盘的“0”扇区开始向硬盘中填入垃圾代码。对于已经被CIH病毒破坏的硬盘数据可以首先尝试通过瑞星“CIH修复工具进行修复。

求职信

病毒传播途径

可以通过邮件、局域网共享目录等途径进行感染,并能自动获取用户地址薄中的信息乱发邮件。此病毒中的信息模仿求职信病毒,病毒内部的信息都是中文。病毒通过 163.com, 163.net, 263.net, sina.com,china.com,citiz.net的邮件服务器发邮件,邮件的地址是该病毒自己随机生成的。邮件会附带一个.exe.vbs的文件。.exe文件就是该病毒本身

求职信病毒邮件特征:

l    邮件标题包括以下几种:
  “
我喜欢你!您好恭喜!节日快乐你中奖了你的朋友同学聚会祝你生日快乐你的朋友给你寄来的贺卡等。

 l   邮件正文包括以下几种:

        “just for my father !”我是程序员我需要一份工作!我需要一份工作!我喜欢你!你的朋友同学聚会我要逃离大学等。

求职信病毒对数据的破坏

l    病毒附带的脚本文件病毒修改了浏览器首页,并在windows的目录下生成一个名为:Win32Dll.vbsMSKernesl.vb两个病毒文件,并将以上两个文件的路径加入注册表的run值中,以便下次启动计算机时可以自动加载此脚本病毒。同时,病毒能够自动查找本地驱动器和网络驱动器,将所有.exe.dll, .dat, .mp3, .doc的文件进行删除操作。

硬盘杀手病毒

它可以在Windows95以上的所有版本的操作系统中运行,将用户计算机上的所有硬盘里的所有资料瞬间清除并且无法恢复。另外该病毒还可以利用网络漏洞和共享目录进行网络感染.

硬盘杀手病毒破坏过程

硬盘杀手病毒运行时会首先将自己复制到系统目录下,然后修改注册表进行自启动。病毒会通过9X系统的漏洞和共享文件夹进行疯狂网络传播,即使网络共享文件夹有共享密码,病毒也能传染。如果是NT系列系统,则病毒会通过共享文件夹感染网络。病毒会获取当前时间,如果病毒已经运行两天,则病毒会在C盘下写入病毒文件,该病毒文件会改写硬盘分区表,当系统重启时,会出现病毒信息,并将硬盘上所有数据都破坏掉,并且不可恢复。

病毒发现与清除:

l    此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:
一、病毒运行时会将自己复制到WINDOWS安装目录下(如果是默认安装则病毒拷贝病毒的目录为:C:\WINDOWS),命名为:mqbkup.exe。可以用DOS盘引导系统,在DOS直接删除此文件,或者在WINDOWS系统中用杀毒软件进行内存杀毒。
二、病毒会改写Windows安装目录下的Win.ini文件,在其中加入run=c:\windows\mqbkup.exe的内容,用户可以用编辑软件直接编辑此文件,将此内容删除。
三、病毒会在C盘创建19个字节的msdos.sys文件、1706个字节的Mslicenf.com文件、88个字节的Boot.ini文件、4096个字节的Boot.exe文件、15个字节的Autoexe.bat文件,用户可以直接将这五个文件删除。
四、病毒会在注册表的自启动项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中加入键值mqbkup或者mqbkupdbs,用户可以用注册表编辑工具直接将该键值直接删除。

“Word文档杀手病毒

l    病毒感染后会在注册表中加入自启动项:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
“EXPLORER” = “%SystemDir%\sys.exe”
这样,在Windows启动时,病毒就可以自动执行。

病毒运行后会显示下面的对话框:

计算机病毒及其破坏后的数据恢复,如何进行修复? - 成功拥有 - 失而复得   倍加珍贵

 

l    病毒一旦发现用户运行了“Windows任务管理器 立即终止运行。这样可以避免自身进程被用户发现。

l    遍历从“A”“Z”的所有盘符,并搜索软盘、U盘等可移动存储设备和网络映射驱动器上的Word文档(*.doc)文件。一旦发现了Word文档,病毒会用自身覆盖原文档,造成用户文档数据被破坏。由于病毒在复制过程中使用和原文档相同的文件名,其程序图标也是Word文档图标。

 

  评论这张
 
阅读(2568)| 评论(0)
推荐

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017