谨慎鬼影病毒

鬼影病毒病毒，完全不同于以前的划时代病毒，简单重装系统无法清除该病毒。受影响系统为windows XP，目前windows vista和windows7不受此病毒影响。

暂时尚无对于此病毒的很好的解决办法，部分杀软厂商提供的专杀因为包含对硬盘分区表和主引导记录的操作亦具有一定的危险性，已知该病毒通过捆绑于软件的方式进行传播，希望近期不要进行新软件安装。等专杀工具更新稳定之后再动手不迟。

一个说明：对于鬼影病毒，基于ghost的备份还原也无济于事，因为这些软件仅备份了文件系统，并没有备份主引导记录。

可能有些人已经开始糊涂了，简单说明一下一般的电脑启动的流程：

当按下电源开关时，电源就开始向主板和其它设备供电——此时电压还没有完全稳定——主板控制芯片组会根据CMOS中的CPU主频设置，向CPU发出一个Reset(重置)信号让CPU初始化。待电压完全稳定后，芯片组会撤去Reset信号，CPU马上从地址FFFF0H处执行一条跳转指令，跳到系统BIOS中真正的启动代码处。系统BIOS首先要做的事情就是进行 POST(Power On Self Test——加电自检)。POST的主要任务是检测系统中的一些关键设备(电源、CPU芯片、BIOS芯片、定时器芯片、数据收发逻辑电路、DMA控制器、中断控制器以及基本的64K内存和内存刷新电路等)是否存在和能否正常工作。

自检通过后，系统BIOS将查找显示卡的BIOS，由显卡BIOS来完成显示卡的初始化，显示器开始有显示。自此，系统就具备了最基本的运行条件，可以对主板上的其它部分进行诊断和测试。再发现故障时，屏幕上会有提示，但一般不死机。接着，系统BIOS将检测CPU的类型和工作频率，然后开始测试主机所有的内存容量。内存测试通过之后，系统BIOS将开始检测系统中安装的一些标准硬件设备，这些设备包括：硬盘、CD－ROM、软驱、串行接口和并行接口等连接的设备，大多数新版本的系统BIOS在这一过程中还要自动检测和设置内存的相关参数、硬盘参数和访问模式等。

标准设备检测完毕(通常你会听到滴的一声)后，系统BIOS内部的“支持即插即用的代码”将开始检测和配置系统中已安装的即插即用设备。每找到一个设备之后，系统BIOS都会在屏幕上显示出设备的名称和型号等信息，同时为该设备分配中断、DMA通道和I/O端口等资源。最后系统BIOS将更新ESCD(Extended System Configuration Data——扩展系统配置数据)。ESCD数据更新完毕后，系统BIOS的启动代码将进行它的最后一项工作，即根据用户指定的启动顺序从软盘、硬盘或光驱启动。

以从C盘启动为例，系统BIOS将读取并执行硬盘上的主引导记录，主引导记录接着从分区表中找到第一个活动分区，然后读取并执行这个活动分区的分区引导记录，而分区引导记录将负责读取并执行IO.SYS，这是Windows最基本的系统文件。IO.SYS首先要初始化一些重要的系统数据，然后就显示出我们熟悉的蓝天白云，在这幅画面之下，Windows将继续进行DOS部分和GUI(图形用户界面)部分的引导和初始化工作，一切顺利结束，电脑正常启动。

本次的鬼影病毒就是加在自身到主引导分区记录中，先于操作系统和杀毒软件启动，在一切都没开始之前就干掉杀软的监控保护，然后在系统启动之后，进行下载病毒映像劫持，继而进行威胁各人财产安全等违法活动。

注：
BIOS：基本输入输出 basic input output system 基本输入输出系统，通常开机的时候按下键盘上的delete键你会进入这个系统的界面。
CMOS：Complementary Metal Oxide Semiconductor，本意是指互补金属氧化物半导体，一种大规模应用于集成电路芯片制造的原料）是微机主板上的一块可读写的ROM芯片，用来保存当前系统的硬件配置和用户对某些参数的设定。CMOS可由主板的电池供电，即使系统掉电，信息也不会丢失。CMOS ROM本身只是一块存储器，只有数据保存功能，而对CMOS中各项参数的设定要通过专门的程序。
ESCD：Extended System Configuration Data，意思是扩展系统配置数据，实际上就是BIOS保留的以前的设备资源分配表。如果电脑上有新加入的硬件通常需要在BIOS中设置Reset Configuration Data或者Force Update ESCD。

要说一点，类似于rootkit这样的技术还有很多，绝非一般的编程人员所能做到的，而本次的鬼影病毒，仅仅能感染xp，或许，这是微软的策略？

CIH爆发至今已经十年有余，就目前看这个病毒的传播能力应该不减当年，这个病毒不是杀软力所能及的，或许下一代杀软也写入mbr？或许下一代要更新的还有很多，而不是目前盲目的加大内存加大硬盘….