提供一个感染了引导型病毒的MBR给大海研究

qq404104275 · 发表于 2010-11-29 12:33:01

本帖最后由 qq404104275 于 2010-11-29 12:34 编辑

昨晚，在朋友的网吧，发现有两台电脑（装有冰点还原）开机不停的弹网页广告。。。用NOD32检查发现是中了MBR病毒了，于是我用一个工具把MBR备份了下来，发到这里，大家来研究下吧，里面的病毒代码。我用UltraEdit打开来查看，也看不懂，右边是一串乱码，可能应该有病毒相关的启动信息吧。。。备份了MBR，我用大海的软件U盘启动进PE重建主引导记录就搞定这个病毒了。在此表示感谢。。。

mbr.rar (511 Bytes, 下载次数: 11515)

qq404104275 · 发表于 2010-11-29 12:36:49

还有一点我不明白的，在装有冰点还原的情况下，我试了很多不同的软件（包括DG），如果有操作（写入或者修改或者清除）MBR的话是被拒绝的，，，可是病毒又怎么能够修改呢？用了什么方法？难道通过驱动来修改？这样能绕过冰点还原吗？

qq404104275 · 发表于 2010-11-29 12:42:14

如果大家不相信的话就把这个MBR写入你的硬盘，然后重启电脑看看效果吧。。。可以通过BOOTICE这个软件来操作MBR的。。。不知道我可不可以在这里发个下载地址？好像发不了，百度BOOTICE下载第一个就是了。

		自动登录	找回密码
密码			注册