拆弹不用东奔西走

答案：                     26日，是计算机的“忌日”？以前也许是这样，现在谁还关心这个问题？是CIH病毒“金盆洗手”了，还是操作系统内功了得，刀枪不入？其实都不是。随着开放性极强的互联网的普及，来自网上的各种攻击日趋严重，这样就使得人们产生一种错觉：现在病毒的攻击更多的是对网络应用的攻击，而那些专门针对系统底层进行的攻击（如硬盘逻辑炸弹、CIH病毒）是上世纪黑客的惯用伎俩，现在不会再重出江湖。这样就使得用户对系统底层攻击的防范意识逐渐淡化，遇到问题更加缺乏心理准备。因此，为了防微杜渐，笔者以早期的硬盘逻辑炸弹病毒为例，介绍几招应对措施，以期唤起人们对传统的针对系统底层的攻击的防范意识。
          　　“硬盘逻辑炸弹”是一种通过更改系统引导分区表把逻辑盘锁死，由于系统启动时找不到逻辑盘或引导程序，从而使得系统无法正常启动的病毒。由于该病毒从系统底层入手攻击，其破坏性极强，轻则系统无法正常启动，重则造成重要数据丢失。它是一把双刃剑，恶意使用，则会破坏系统，反之，则能很好的保护系统，如还原精灵、硬盘保护卡等。
          　　要想系统高枕无忧，就要做到未雨绸缪，拒敌于国门之外，不打无准备的仗：
          　　1. 将硬盘分区表备份。用杀毒软件KV3000、Norton的Diskedit将硬盘分区表备份在隐藏扇区，如果硬盘锁住就用FDISK/MBR命令恢复。
          　　2. 利用IMG镜像文件制作万能系统启动盘。杀毒软件KV3000上有一个IMG镜像文件，将之导入一张能正常启动系统的系统启动盘，从而制作一张包含有IMG镜像文件的DOS启动盘，如硬盘被锁，就用万能启动盘启动即可。
          　　3. 由于此种病毒是利用DOS的Debug命令进行攻击的，因此，你可以把Debug命令删除、禁用启动时的F4、F8功能、禁用DOS模式以及禁用开始项中的“运行…”栏。
          　　4. 在BIOS设置中把系统启动顺序设为第一选择LAN，第二选择硬盘，切忌把第一选择设为A盘。
          　　如果不小心，真的让“鬼子”混进了村，上了“鬼子”的当，也不必惊慌，它无非就那么几招，分析对待就可以了：             　　 第一种现象 从硬盘无法启动，只能从软盘或者光盘启动。这是由于病毒修改了硬盘分区表的有效标志，如果更改此有效标志，则不能从硬盘启动。
          　　 第二种现象 无法从硬盘启动，从软盘启动后，也找不到逻辑硬盘。这是由于系统分区表参数不正确，比如全部变为0，系统检测不到逻辑盘，使硬盘不能启动，软盘启动后，也无法读取硬盘或者根本找不到硬盘。
          　　 第三种现象 系统指示灯不停的闪烁，就是无法启动系统。这是病毒将分区表中逻辑驱动器盘符循环镜像，如将C盘镜像为D盘，同时将D盘镜像为C盘，这样检查分区时，由于是死循环，无法跳出循环检查而无法启动系统，造成死机。
          　　 第四种现象 无法找到系统引导程序。这是病毒重新制造了一个分区表，将正确的分区表参数和引导程序隐藏在其他扇区。由于无法完整读取引导程序而不能完成系统引导，造成系统无法启动。
          　　不管是哪种情况，以不变应万变，只要有备份盘，用启动盘启动，然后用A盘下的Debug命令或者Diskedit软件将硬盘分区参数改回去重启即可。
          　　如果你对系统底层有些许了解，决定自己动手，那么请注意以下事项：
          　　1. 谨慎修改。硬盘分区表、I/0表、目录区、FAT表均记录了硬盘的许多信息，如果该表中的参数出现错误，可能造成各式各样的情况。因此若对硬盘逻辑和物理结构或表中的数据不非常熟悉的情况下，千万不要随意改动，最好再请教高手。
          　　2. 做好备份。在操作过程中，若没有十足的把握，请将被改动的地方记录下来，或者原样复制一份，以备修改错误时恢复原貌。
          　　3. 具体问题具体分析。由于硬盘大小、分区数以及操作系统的不同，得到的参数和数据也不尽相同，因此需要反复确认参数数值后才可进行修改；另外硬盘出问题也有多种原因，并不都是分区表出了问题，因此一定要认真分析才可动手解决。             

                                    作者:康祥顺　

                        
            
            [page_break]