【正文】 [12]．張潔，計(jì)算機(jī)病毒防治與信息安全知識(shí)300問(wèn)，冶金工業(yè)出版社，2005年7月第26頁(yè)。最后，我要特別感謝李璧老師，是她在我畢業(yè)的最后關(guān)頭給了我們巨大的幫助與鼓勵(lì)，使我能夠順利完成畢業(yè)設(shè)計(jì)，在此表示衷心的感激李璧老師認(rèn)真負(fù)責(zé)的工作態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和深厚的理論水平都使我收益匪淺，她無(wú)論在理論上還是在實(shí)踐中，都給與我很大的幫助，使我得到不少的提高這對(duì)于我以后的工作和學(xué)習(xí)都有一種巨大的幫助，感謝她耐心的輔導(dǎo)。兩年的風(fēng)風(fēng)雨雨，我們一同走過(guò)，充滿著關(guān)愛，給我留下了值得珍藏的最美好的記憶。感謝老師二年來(lái)對(duì)我孜孜不倦的教誨，對(duì)我成長(zhǎng)的關(guān)心和愛護(hù)。從這里走出，對(duì)我的人生來(lái)說(shuō)，將是踏上一個(gè)新的征程，要把所學(xué)的知識(shí)應(yīng)用到實(shí)際工作中去。四是研究對(duì)付計(jì)算機(jī)病毒的安全策略及防御技術(shù)來(lái)加強(qiáng)對(duì)計(jì)算機(jī)病毒的防御和治理。二是計(jì)算機(jī)病毒的注入方式，重點(diǎn)研究“固化”病毒的激發(fā)。主要有以下的幾個(gè)建議來(lái)解決計(jì)算機(jī)病毒。因此，算機(jī)病毒攻擊與防御手段是不斷發(fā)展的，要在計(jì)算機(jī)病毒對(duì)抗中保持領(lǐng)先地位，必須根據(jù)發(fā)展趨勢(shì)，在關(guān)鍵技術(shù)環(huán)節(jié)上實(shí)施跟蹤研究。此外，在應(yīng)急計(jì)劃中還必需包括救援物質(zhì)、計(jì)算機(jī)軟硬件備件的準(zhǔn)備，以及參加人員的聯(lián)絡(luò)表等，以便使得發(fā)生計(jì)算機(jī)病毒疫情后能夠迅速地召集人手，備件到位，快速進(jìn)入應(yīng)急狀態(tài)。⑤實(shí)施計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)恢復(fù)計(jì)劃和數(shù)據(jù)搶救恢復(fù)計(jì)劃在計(jì)算機(jī)病毒防范專家的指導(dǎo)下，由系統(tǒng)管理員、設(shè)備維護(hù)管理人員和使用者共同實(shí)施恢復(fù)計(jì)劃和數(shù)據(jù)搶救計(jì)劃。③確定計(jì)算機(jī)病毒疫情規(guī)模通常由技術(shù)負(fù)責(zé)人員和網(wǎng)絡(luò)使用者完成這項(xiàng)工作，可以在不擴(kuò)大傳染范圍的情況下與隔離工作同步進(jìn)行。二、應(yīng)急計(jì)劃的實(shí)施步驟應(yīng)急計(jì)劃中必需包括的主要工作有：①對(duì)染毒的計(jì)算機(jī)和網(wǎng)絡(luò)進(jìn)行隔離由網(wǎng)絡(luò)管理員完成，網(wǎng)絡(luò)使用者提供信息，輔助實(shí)施。參加應(yīng)急工作的人員一般應(yīng)包括：網(wǎng)絡(luò)管理員、技術(shù)負(fù)責(zé)人員、設(shè)備維護(hù)管理人員和使用者（用戶）或值班用戶。一個(gè)應(yīng)急計(jì)劃必須包括人員、分工以及各項(xiàng)具體實(shí)施步驟和物質(zhì)準(zhǔn)備。第三節(jié) 計(jì)算機(jī)系統(tǒng)修復(fù)應(yīng)急計(jì)劃[10]就象解決計(jì)算機(jī)2000年問(wèn)題一樣，對(duì)計(jì)算機(jī)病毒實(shí)施的技術(shù)防范，任何一個(gè)小小的隱患，都可能導(dǎo)致巨大的損失。在此需要提醒讀者，如果您沒有具備相當(dāng)?shù)膶I(yè)知識(shí)，千萬(wàn)不要輕易嘗試，否則可能會(huì)造成數(shù)據(jù)的徹底無(wú)法恢復(fù)?！　∑鋵?shí)看來(lái)，如果FAT2沒有損壞的情況下，恢復(fù)C盤數(shù)據(jù)是非常容易的，可以編程實(shí)現(xiàn)。當(dāng)然，DISKEDIT等工具可以很好的完成這一工作。再回到DOS，用DEBUG查找結(jié)束標(biāo)志為55AA 的扇區(qū)，由結(jié)構(gòu)判定是否為擴(kuò)展分區(qū)。對(duì)C盤殺毒后，就基本完成對(duì)啟動(dòng)盤的修復(fù)工作?？梢韵扔肗DD 修復(fù)分區(qū)表，然后可以考慮用標(biāo)準(zhǔn)覆蓋法，如果你希望下一步由NORTON Utilities來(lái)接手，這些都可以不做。用DISKEDIT可以標(biāo)記FAT2的內(nèi)容，然后復(fù)制下來(lái)，再寫到FAT1?！　∮辛烁夸浬葏^(qū)后就該計(jì)算FAT表的長(zhǎng)度了，因?yàn)镕AT2是到ROOT前一扇區(qū)為止且FAT1和FAT2的長(zhǎng)度相同，所以可以非常簡(jiǎn)單地計(jì)算出FAT表的長(zhǎng)度?！　〗酉聛?lái)再在DISKEDIT的FIND中查找IO SYS（IO 和SYS中要有空格）以查找根目錄扇區(qū)（ROOT）。FAT1一般前面已經(jīng)被破壞了，但后面應(yīng)該還在，這可以作為檢查。其實(shí)如果不用DISKEDIT的可以用DEBUG查，偏移0000的F8 FF FF 0F?！　∥覀兤诖鼺AT2沒有損壞，以用FAT2覆蓋FAT1，在這個(gè)時(shí)候DISKEDIT要比DEBUG容易的多，在FIND OBJECT中選擇 FAT，查一下起始扇區(qū)，在0柱面68面14扇區(qū)，偏移0x0000的字節(jié)：F8 FF FF 0F （FAT32的）。用DEBUG 清空分區(qū)表，并置0x80和0x55 0xAA標(biāo)志。此時(shí)已經(jīng)看的見C:硬盤。另外小容量的硬盤也是很難恢復(fù)。如果不連續(xù)的話，也并非沒有可能，但這往往還要知道文件的一些細(xì)節(jié)，包括對(duì)一些文件本身的連接結(jié)構(gòu)有了解。 　?、贔AT2也已經(jīng)損壞的情況，一般是只期待找回其中某些關(guān)鍵的文件了。那么恢復(fù)文件，特別是占用多個(gè)不連續(xù)扇區(qū)文件就相當(dāng)困難了。對(duì)數(shù)據(jù)恢復(fù)來(lái)說(shuō)，能否成功的找回?cái)?shù)據(jù)文件是重要的。主引導(dǎo)記錄簡(jiǎn)單說(shuō)明 主引導(dǎo)記錄是硬盤引導(dǎo)的起點(diǎn)，其分區(qū)表中比較重要的有3個(gè)標(biāo)志，在偏移0x01BE處的字節(jié)，0x80 表示系統(tǒng)可引導(dǎo)，且整個(gè)分區(qū)表只能有一個(gè)分區(qū)的標(biāo)志為0x80；對(duì)于C分區(qū)，在偏移0x01C2處的字節(jié)，F(xiàn)AT16為0x06，F(xiàn)AT32為0x0C；結(jié)尾的0x55 0xAA標(biāo)記，用來(lái)表示主引導(dǎo)記錄是一個(gè)有效的記錄?！　「夸浬葏^(qū)（ROOT）：這里記錄了根目錄里的目錄文件項(xiàng)等，ROOT區(qū)跟在FAT2后面。FAT32的每個(gè)表項(xiàng)由4字節(jié)（32位）組成，通常每個(gè)表項(xiàng)指向的簇包含8個(gè)扇區(qū)，即4Kb字節(jié)?！　AT16的每個(gè)表項(xiàng)由2字節(jié)（16位）組成，通常每個(gè)表項(xiàng)指向的簇包含64個(gè)扇區(qū)，即32Kb字節(jié)。FAT表是記錄文件占用扇區(qū)連接的地方，如果兩個(gè)FAT表都?jí)牧耍蠊豢霸O(shè)想?！　‰[藏扇區(qū)：0柱面1面1扇區(qū)開始，如果是FAT16那么占一個(gè)扇區(qū)，如果是FAT32則由此占32個(gè)扇區(qū)。這是我們過(guò)去稱的DOS引導(dǎo)區(qū)?！　∠到y(tǒng)扇區(qū)：0柱面0面2扇區(qū)到0柱面0面63扇區(qū)，共62個(gè)扇區(qū)。 　　主引導(dǎo)記錄（MBR）：MBR占一個(gè)扇區(qū)，在0柱面0面1扇區(qū)，由代碼區(qū)和分區(qū)表構(gòu)成。⑥對(duì)于殺毒軟件無(wú)法殺除的計(jì)算機(jī)病毒，還應(yīng)將計(jì)算機(jī)病毒樣本送交防殺計(jì)算機(jī)病毒軟件廠商的研究中心，以供詳細(xì)分析。④發(fā)現(xiàn)計(jì)算機(jī)病毒后，我們一般應(yīng)利用防殺計(jì)算機(jī)病毒軟件清除文件中的計(jì)算機(jī)病毒，如果可執(zhí)行文件中的計(jì)算機(jī)病毒不能被清除，一般應(yīng)將其刪除，然后重新安裝相應(yīng)的應(yīng)用程序。③啟動(dòng)防殺計(jì)算機(jī)病毒軟件，并對(duì)整個(gè)硬盤進(jìn)行掃描。目前防殺計(jì)算機(jī)病毒軟件在殺毒前大多都能夠保存重要的數(shù)據(jù)和感染的文件，以便能夠在誤殺或造成新的破壞時(shí)可以恢復(fù)現(xiàn)場(chǎng)。而對(duì)感染的是關(guān)鍵數(shù)據(jù)文件，或比較嚴(yán)重的時(shí)候，比如硬件被CIH計(jì)算機(jī)病毒破壞，就可以考慮請(qǐng)防殺計(jì)算機(jī)病毒專家來(lái)進(jìn)行清除和數(shù)據(jù)恢復(fù)工作。第五章 計(jì)算機(jī)系統(tǒng)的修復(fù)第一節(jié) 病毒感染修復(fù)處理方法[7][8]一、計(jì)算機(jī)病毒感染后的一般修復(fù)處理方法①首先必須對(duì)系統(tǒng)破壞程度有一個(gè)全面的了解，并根據(jù)破壞的程度來(lái)決定采用有效的計(jì)算機(jī)病毒清除方法和對(duì)策。修改注冊(cè)表 查看注冊(cè)表，將注冊(cè)表中木馬修改的部分還原。停止可疑的系統(tǒng)進(jìn)程 木馬程序在運(yùn)行時(shí)都會(huì)在系統(tǒng)進(jìn)程中留下痕跡。第二節(jié) 計(jì)算機(jī)病毒的清除一、病毒的清除[6][7]刪除可疑的啟動(dòng)程序 查看系統(tǒng)啟動(dòng)程序和注冊(cè)表是否存在可疑的程序后，判斷是否中了木馬，如果存在木