自2010年鬼影病毒問世以來，可謂是開創(chuàng)了一類新型惡意軟件編寫的先河。經(jīng)過兩年多的發(fā)展，鬼影病毒“繁衍”了一代又一代，形成了特性鮮明的鬼影家族系列。之所以稱之為鬼影病毒，主要是因?yàn)樵摬《炯纳诖疟P主引導(dǎo)記錄（MBR）當(dāng)中，即使格式化硬盤，甚至重裝系統(tǒng)，也無法將其完全清除，猶如“鬼影”一般附身于計算機(jī)中“陰魂不散”，令人十分惱火。

鬼影病毒是近年來較為罕見的技術(shù)型病毒，病毒作者具有高超的編程技巧。該病毒一旦進(jìn)入電腦，就像惡魔一樣，隱藏在系統(tǒng)之外，并早于操作系統(tǒng)內(nèi)核先加載，所以哪怕是重做了系統(tǒng)，只要MBR沒重寫，病毒就仍然存在。鬼影病毒目前已發(fā)展到第六代，已出現(xiàn)多個變種，且每個變種的行為都不盡相同，但它們都有一個共性，就是修改MBR。

MBR，全稱為Master Boot Record，即硬盤的主引導(dǎo)記錄。位于硬盤的0柱面0磁道1扇區(qū)，不屬于任何一個操作系統(tǒng)，是計算機(jī)通電開機(jī)、主板自檢完成后，訪問硬盤時必須讀取的首個扇區(qū)。主引導(dǎo)扇區(qū)中記錄著硬盤本身的相關(guān)信息以及硬盤各個分區(qū)的大小和位置信息，是數(shù)據(jù)信息的重要入口。如果它受到破壞，硬盤上的基本數(shù)據(jù)結(jié)構(gòu)信息將會丟失，需要用繁瑣的方式試探性的重建數(shù)據(jù)結(jié)構(gòu)信息后，才可能重新訪問原先的數(shù)據(jù)。

主引導(dǎo)扇區(qū)的讀取流程如下：

1. BIOS加電自檢；

2. 讀取MBR，當(dāng)BIOS檢查到硬件正常并與CMOS中的設(shè)置相符后，按照CMOS中對啟動設(shè)備的設(shè)置順序檢測可用的啟動設(shè)備；

3. 檢查MBR的結(jié)束標(biāo)志位是否等于55AAH，若不等于則轉(zhuǎn)去嘗試其他啟動設(shè)備，如果沒有啟動設(shè)備滿足要求，則顯示"NO ROM BASIC"，然后死機(jī)；

4. 當(dāng)檢測到有啟動設(shè)備滿足要求后，BIOS將控制權(quán)交給相應(yīng)啟動設(shè)備；

5. 根據(jù)啟動設(shè)備的MBR中的引導(dǎo)代碼啟動引導(dǎo)程序。

通過上述流程可以看出，MBR對于操作系統(tǒng)來說是多么重要，一旦被破壞或被病毒惡意修改，對于系統(tǒng)來說都是致命的。因鬼影病毒而興起的MBR-Rootkit技術(shù)顛覆了傳統(tǒng)病毒的感染特點(diǎn)以及用戶處理病毒問題的思維定勢，也算是具有劃時代的意義。本文介紹的是鬼影家族的第三代產(chǎn)品，具有一定代表性。

病毒現(xiàn)象及行為

1） 桌面和快速啟動欄多出偽裝的IE快捷方式，主頁被篡改為http://123.765321.info，且無法修改。

圖1：IE主頁被篡改

2） “文件夾選項(xiàng)”設(shè)置被修改，隱藏文件擴(kuò)展名、不顯示隱藏的文件和文件夾，修改后重啟電腦又被改為隱藏。

圖2：“文件夾選項(xiàng)”設(shè)置被修改

3） 任務(wù)管理器活動進(jìn)程中多出一個alg.exe，通過查看進(jìn)程PID，與XueTr中顯示的進(jìn)程對比，不難得出，PID為1784的才是正常的系統(tǒng)進(jìn)程，位于C:\WINDOWS\system32下，而PID為1848的進(jìn)程其實(shí)是C:\Documents and Settings\All Users\Documents\My Videos\Vanlmh.tmp偽裝成的alg.exe，迷惑人的。

圖3：病毒釋放Vanlmh.tmp偽裝成系統(tǒng)進(jìn)程alg.exe

4） 使用XueTr的檢測MBR Rookit功能，提示“未知MBR”。

圖4：XueTr檢測到MBR異常

上述現(xiàn)象只是肉眼看得到的表象，經(jīng)過詳細(xì)分析后得到的病毒行為主要有以下幾個方面：

A. 病毒運(yùn)行后會打開磁盤獲取磁盤信息，通過計算磁盤的大小來計算用來數(shù)據(jù)存放的磁盤具體位置。讀取MBR并備份，以便系統(tǒng)初始化時調(diào)用原始的MBR完成對系統(tǒng)的引導(dǎo)，然后修改MBR，實(shí)現(xiàn)在系統(tǒng)啟動的第一時間獲取控制權(quán)。

B. 釋放驅(qū)動文件hello_tt.sys并加載，掛鉤SCSI的DriverStartIO函數(shù)，用來過濾某些操作實(shí)現(xiàn)數(shù)據(jù)隱藏，并保護(hù)病毒修改的MBR不被修復(fù)掉。等待5秒，釋放C:\Documents and Settings\All Users\Documents\My Videos\Vanlmh.tmp，創(chuàng)建注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run啟動項(xiàng)，名稱為Alg，路徑為C:\alg.exe。

C. 刪除C:\WINDOWS\system32\drivers\beep.sys文件，這樣重啟電腦后hello_tt.sys便可替代beep.sys順利加載到系統(tǒng)中。

D. 修改“文件夾選項(xiàng)”的設(shè)置，隱藏文件擴(kuò)展名，不顯示隱藏文件，在桌面和快速啟動欄創(chuàng)建偽裝的IE快捷方式，修改主頁為http://123.765321.info，聯(lián)網(wǎng)下載指定文件。

手工處理方法

1） 結(jié)束病毒活動進(jìn)程并刪除文件。

圖5：結(jié)束Vanlmh.tmp進(jìn)程并刪除文件

2） 刪除病毒創(chuàng)建的Alg啟動項(xiàng)。

圖6：刪除病毒創(chuàng)建的Alg啟動項(xiàng)

3） 摘除hello_tt.sys，替換掉beep.sys掛在SCSI下的鉤子。

圖7：摘除SCSI hook

4） 通過XueTr重置MBR，這里需要事先備份一份正常的MBR，由它來替換被病毒修改的MBR。

圖8：修復(fù)MBR

5） 在IE設(shè)置中把病毒劫持的主頁修改回來，從其他干凈系統(tǒng)中拷貝一個beep.sys放到系統(tǒng)drivers目錄下。

通讀完全文，是不是覺得網(wǎng)上傳得神乎其神的鬼影病毒不再那么陌生和可怕了？MBR-RootKit技術(shù)之前主要在國外技術(shù)論壇傳播，近幾年因鬼影病毒的出現(xiàn)才在國內(nèi)火了一把。在鬼影病毒之前，這項(xiàng)技術(shù)少有被黑客利用的案例，但未來可能會有更多惡意軟件利用該技術(shù)長期駐留在用戶電腦中。所以對于普通網(wǎng)友來說，多了解一些病毒知識，防患于未然是絕對有好處的。