自2010年鬼影病毒問世以來，可謂是開創了一類新型惡意軟件編寫的先河。經過兩年多的發展，鬼影病毒“繁衍”了一代又一代，形成了特性鮮明的鬼影家族系列。之所以稱之為鬼影病毒，主要是因為該病毒寄生在磁盤主引導記錄（MBR）當中，即使格式化硬盤，甚至重裝系統，也無法將其完全清除，猶如“鬼影”一般附身于計算機中“陰魂不散”，令人十分惱火。

鬼影病毒是近年來較為罕見的技術型病毒，病毒作者具有高超的編程技巧。該病毒一旦進入電腦，就像惡魔一樣，隱藏在系統之外，并早于操作系統內核先加載，所以哪怕是重做了系統，只要MBR沒重寫，病毒就仍然存在。鬼影病毒目前已發展到第六代，已出現多個變種，且每個變種的行為都不盡相同，但它們都有一個共性，就是修改MBR。

MBR，全稱為Master Boot Record，即硬盤的主引導記錄。位于硬盤的0柱面0磁道1扇區，不屬于任何一個操作系統，是計算機通電開機、主板自檢完成后，訪問硬盤時必須讀取的首個扇區。主引導扇區中記錄著硬盤本身的相關信息以及硬盤各個分區的大小和位置信息，是數據信息的重要入口。如果它受到破壞，硬盤上的基本數據結構信息將會丟失，需要用繁瑣的方式試探性的重建數據結構信息后，才可能重新訪問原先的數據。

主引導扇區的讀取流程如下：

1. BIOS加電自檢；

2. 讀取MBR，當BIOS檢查到硬件正常并與CMOS中的設置相符后，按照CMOS中對啟動設備的設置順序檢測可用的啟動設備；

3. 檢查MBR的結束標志位是否等于55AAH，若不等于則轉去嘗試其他啟動設備，如果沒有啟動設備滿足要求，則顯示"NO ROM BASIC"，然后死機；

4. 當檢測到有啟動設備滿足要求后，BIOS將控制權交給相應啟動設備；

5. 根據啟動設備的MBR中的引導代碼啟動引導程序。

通過上述流程可以看出，MBR對于操作系統來說是多么重要，一旦被破壞或被病毒惡意修改，對于系統來說都是致命的。因鬼影病毒而興起的MBR-Rootkit技術顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢，也算是具有劃時代的意義。本文介紹的是鬼影家族的第三代產品，具有一定代表性。

病毒現象及行為

1） 桌面和快速啟動欄多出偽裝的IE快捷方式，主頁被篡改為http://123.765321.info，且無法修改。

圖1：IE主頁被篡改

2） “文件夾選項”設置被修改，隱藏文件擴展名、不顯示隱藏的文件和文件夾，修改后重啟電腦又被改為隱藏。

圖2：“文件夾選項”設置被修改

3） 任務管理器活動進程中多出一個alg.exe，通過查看進程PID，與XueTr中顯示的進程對比，不難得出，PID為1784的才是正常的系統進程，位于C:\WINDOWS\system32下，而PID為1848的進程其實是C:\Documents and Settings\All Users\Documents\My Videos\Vanlmh.tmp偽裝成的alg.exe，迷惑人的。

圖3：病毒釋放Vanlmh.tmp偽裝成系統進程alg.exe

4） 使用XueTr的檢測MBR Rookit功能，提示“未知MBR”。

圖4：XueTr檢測到MBR異常

上述現象只是肉眼看得到的表象，經過詳細分析后得到的病毒行為主要有以下幾個方面：

A. 病毒運行后會打開磁盤獲取磁盤信息，通過計算磁盤的大小來計算用來數據存放的磁盤具體位置。讀取MBR并備份，以便系統初始化時調用原始的MBR完成對系統的引導，然后修改MBR，實現在系統啟動的第一時間獲取控制權。

B. 釋放驅動文件hello_tt.sys并加載，掛鉤SCSI的DriverStartIO函數，用來過濾某些操作實現數據隱藏，并保護病毒修改的MBR不被修復掉。等待5秒，釋放C:\Documents and Settings\All Users\Documents\My Videos\Vanlmh.tmp，創建注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run啟動項，名稱為Alg，路徑為C:\alg.exe。

C. 刪除C:\WINDOWS\system32\drivers\beep.sys文件，這樣重啟電腦后hello_tt.sys便可替代beep.sys順利加載到系統中。

D. 修改“文件夾選項”的設置，隱藏文件擴展名，不顯示隱藏文件，在桌面和快速啟動欄創建偽裝的IE快捷方式，修改主頁為http://123.765321.info，聯網下載指定文件。

手工處理方法

1） 結束病毒活動進程并刪除文件。

圖5：結束Vanlmh.tmp進程并刪除文件

2） 刪除病毒創建的Alg啟動項。

圖6：刪除病毒創建的Alg啟動項

3） 摘除hello_tt.sys，替換掉beep.sys掛在SCSI下的鉤子。

圖7：摘除SCSI hook

4） 通過XueTr重置MBR，這里需要事先備份一份正常的MBR，由它來替換被病毒修改的MBR。

圖8：修復MBR

5） 在IE設置中把病毒劫持的主頁修改回來，從其他干凈系統中拷貝一個beep.sys放到系統drivers目錄下。

通讀完全文，是不是覺得網上傳得神乎其神的鬼影病毒不再那么陌生和可怕了？MBR-RootKit技術之前主要在國外技術論壇傳播，近幾年因鬼影病毒的出現才在國內火了一把。在鬼影病毒之前，這項技術少有被黑客利用的案例，但未來可能會有更多惡意軟件利用該技術長期駐留在用戶電腦中。所以對于普通網友來說，多了解一些病毒知識，防患于未然是絕對有好處的。