PCA82C251T

聯(lián)系電話：0755-83225385 傳真：0755-82776450
李先生：13691912091 QQ：1648252878
黃小姐：15012797976 QQ：1648477559
MSN:ltz52099@hotmail.com
　由于流行的CIH病毒版本中，其標(biāo)識(shí)版本號(hào)的信息使PCA82C251T用的是明文，所以可以通過(guò)搜索可執(zhí)行文件中的字符串來(lái)識(shí)別是否感染了CIH病毒，搜索的特征串為“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串，可嘗試“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜索“CIH”特征串， 因?yàn)榇颂卣鞔诤芏嗟恼３绦蛑幸泊嬖�，例如程序中存在如下代碼行： inc bx dec cx dec ax 則它們的特PCA82C251T征碼正好是“CIH(0x43;0x49;0x48)”，容易產(chǎn)生誤判。 　　具體的搜索方法為：首先開(kāi)啟“資源管理器”，選擇其中的菜單功能“工具>查找>文件或文件夾”，在彈出的PCA82C251T“查找文件”設(shè)置窗口的“名稱和位置”輸入中輸入查找路徑及文件名(如：*.EXE)，然后在“高級(jí)>包含文字”欄中輸入要查找的PCA82C251T特征字符串--“CIH v”，最后點(diǎn)勸查找鍵”即可開(kāi)始查找工作。如果在查找過(guò)程中， 顯示出一大堆符合查找特征的可執(zhí)行文件，則表明您老的計(jì)算機(jī)上已經(jīng)感染了CIH病毒。 　　實(shí)際PCA82C251T上，在以上的方法中存在著一個(gè)致命的缺點(diǎn)，那就是：如果用戶剛剛感染CIH病毒，那么這樣一個(gè)大面積的搜索過(guò)程實(shí)際上也是在擴(kuò)大病毒的感染面。 　　一般情況下，推薦的方法是先運(yùn)行一PCA82C251T下“寫字板”軟件，然后使用上面的PCA82C251T方法在“寫字板”軟件的可執(zhí)行程序Notepad.exe中搜索特征串，以判斷是否感染了CIH病毒。 另外一個(gè)判斷方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段，也就是0x00004550，其代表的識(shí)別字符為“PE00”，然后查看其前一個(gè)字節(jié)是否為0x00，如果是，則表示程序未受感染，如果為其他數(shù)值，則表示很可能已經(jīng)感染了CIH病毒。 　　最后一個(gè)判斷方法是先搜索IMAGE_NT_SIGNATURE字段--“PE00”，接著搜索其偏移0x28位置處PCA82C251T的值是否為55 8D 44 24 F8 33 DB 64，如果是，則表示此程序已被感染。 　　還聽(tīng)說(shuō)凡是感染了CIH病毒的機(jī)器，如果玩NEED FOR SPEED II(極品飛車2)游戲時(shí)，會(huì)在讀取游戲光 盤時(shí)出現(xiàn)死機(jī)現(xiàn)象， 本人沒(méi)有嘗試過(guò)，不知道實(shí)際上是不是有這一情況存在。 　　適合高級(jí)用戶使用的一個(gè)方法是直接搜索特征代碼，并將PCA82C251T其修改掉，方法是：先處理掉兩個(gè)轉(zhuǎn)跳點(diǎn)，即PCA82C251T搜索：5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串，將這兩個(gè)特征串中的CC改90(nop)，接著搜索 CD 20 53 00 01 00 83 C4 20 與 CD 20 67 00 40 00特征字串，將其全部修改為90，即可（以上數(shù)值全部為16進(jìn)制）。 　　另外一種方法是將原先的PE程序的正確入口點(diǎn)找回來(lái)，填入當(dāng)前入口點(diǎn)即可（此處以一個(gè)被感染的CALC.EXE程序?yàn)槔�，具體方法為：先搜IMAGE_NT_SIGNATURE字段--“PE00”，接著將距此點(diǎn)偏移0x28處的4個(gè)字節(jié)值，例如“A0 02 00 00”(0x000002A0)，再由此偏移所指的位置（即0x02A0）找到數(shù)據(jù)“55 8D 44 24 F8 33 DB 64”， 并由0X02A0加上0X005E得到0x02FE偏移，此偏移處的數(shù)據(jù)例如為“CB 21 40 00”（OXOO4021CB），將此值減去OX40000，將PCA82C251T得數(shù)--“CB 21 00 00”（OXOO0021CB）值放回到距“PE00”點(diǎn)偏移0x28的位置即可（此處為Windows PE格式程序的入口點(diǎn)，術(shù)語(yǔ)稱為Program Entry Point）。最后將“55 8D 44 24 F8 33 DB 64”全部填成“00”，使得我們?nèi)菀着袛嗖《臼欠褚呀?jīng)被殺除過(guò)。 按照上面手工殺毒的方法一般適合于某些單獨(dú)的軟件PCA82C251T（例如某些軟件包含在軟盤中，卻被感染了CIH不讀，可現(xiàn)在就要用，呵呵�。�。使用上述方法的缺點(diǎn)在于病毒體還將保留在可執(zhí)行文件中，雖然不會(huì)起作用， 但是想起來(lái)可能會(huì)有點(diǎn)不舒服（記得“WPS2000測(cè)試版殘留CIH病毒尸體”的事件么？）。所以，想徹底殺滅，推薦使用某些反病毒軟件進(jìn)行或是CIH專PCA82C251T用殺毒工具（以上操作以及使用反病毒軟件進(jìn)行殺毒，必須使用干凈的系統(tǒng)盤啟動(dòng)計(jì)算機(jī)）。