变态的officescan

今天看了一个美其名曰的officescan.exe文件，upx加壳的rar文件，最终释放****.***、***.lst、grldr、 ghost.img文件，通过替换****.***掠过NTLDR加载的win32k.sys以及system、ntoskrnl.exe、 hal.dll等win32核心驱动组件，让ntldr直接加载grldr实现多系统引导，grldr从某某lst文件中获取系统列表得到ghost映像包文件并引导到纯dos下获得int 13H，通过ghost加载gho文件写扇区将硬盘在开机瞬间变为一个分区，其实也就是就使用了ghost的命令行镜像到硬盘的命令，被gho的硬盘最起码C盘的数据很难恢复，当然深度挖掘也可以恢复，因为ghost覆盖了C盘原有的FAT1和FAT2，其他分区的不会，通过写回分区表的方法可以挽救多数数据，偶庆幸中招，写了分区表问题解决，只不过重新做了一次系统，C区米有了，米有精力给C作数据恢复，C盘有数据的请自行解决，目前东方微点已经成功对此类恶意病毒新行为进行了识别，请及时更新你的微点，忘了说了，这种病毒不是常规可以拦截的，毕竟里面都是一些操作系统的重要文件，单一拿出一个都不是病毒，但是结合在一起却会对数据造成重大影响，所以加强对网络安全意识和数据安全意识是有必要的。

没有安装东方微点的可以到http://www.micropoint.com.cn/download/download.php?site=local自行下载

PS：由于****里面的内容会造成后果严重所以屏蔽，这个病毒真的损人不利己，倒是便宜了数据恢复的JS，；流氓练武术，小白挡不住噢