SiS001! Board - [第一会所关闭注册]

标题: [求助] 威金和熊猫烧香是怎么样突破还原软件之类的软件的？ [打印本页]

作者: nxch21 时间: 2007-3-13 14:30 标题: 威金和熊猫烧香是怎么样突破还原软件之类的软件的？

小弟帮朋友维护一个网吧！但近来却饱受威金和熊猫烧香病毒及其变种的荼毒，网吧电脑是所有的分区都自动恢复的，但病毒却能突破还原精灵（各个版本都一样）或者冰点类的还原软件，而感染系统，用专杀那些效果也不是很好，病毒是杀了。但基本上感染了的EXE文件都不可用了，请教大家有什么好的解决办法啊？

作者: canory 时间: 2007-3-13 14:42

因为系统如果要还原的话，一般都是通过用预先保存好的镜像文件来复制，镜像文件有一定的格式，例如后缀，又或者在文件头有特别的标记。只要根据这些格式删除镜像文件或者破坏镜像文件，这样就可以突破还原软件了。
因为感染再杀毒后的exe跟原来exe在大小，标记，验证等地方都可能不一样，exe使用动态内存分布，只要内存地址不能正确获取，exe文件就出错。
解决办法，重装系统吧，省点精力比较好

作者: kka950 时间: 2007-3-13 15:45

熊猫烧香会删除磁盘中以gho为后缀名ghost备份的文件，备份被删了，自然也就无法还原了。

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://154.84.5.211/bbs3/)