一、引導型Boot病毒的捕獲

引導區(qū)類型的病毒提取很簡單，首先利用Format A: /S將引導系統(tǒng)文件復制到軟盤中，然后再將的硬盤中的一些系統(tǒng)執(zhí)行文件一同拷貝到軟盤中。具體步驟如下：進入MS-DOS方式，格式化一張系統(tǒng)盤，F(xiàn)ormat A: /s ，針對不同的系統(tǒng)，請將如下文件拷貝到這同一張軟盤之中：

對于Windows 3.x：拷貝\Windows\System下的gdi.exe?rnl286.exe、progman.exe三個文件。

對于Windows 95/98/ME：拷貝\Windows\System下的gdi.exe、krnl386.exe、progman.exe三個文件。

對于Windows NT、Windows 2000：拷貝\Windows\System32下的gdi.exe、krnl386.exe、progman.exe三個文件。

如果格式化軟盤時出現(xiàn)死機，請按下列步驟提取：請在該軟盤的標簽上寫明“damaged during infected format as boot disk”。針對不同的系統(tǒng)的上列文件，拷貝到不同的軟盤中，方法同上。

二、文件型File/Macro病毒的捕獲

如果你懷疑病毒是文件型，將C盤根目錄下的command.com文件拷貝到軟盤上，取名為command，即去掉擴展名。

如果你懷疑病毒是MS Word宏病毒，將C:\Program Files\Microsoft Office\Templates目錄下的“normal.dot”文件和C:\Program Files\Microsoft Office\Office\Startup 目錄內(nèi)的所有文件拷貝到軟盤。

如果你懷疑病毒是MS Excel宏病毒，將XLSTART目錄內(nèi)的所有文件拷貝到軟盤。XLSTART位于計算機的多個地方，用Windows搜索功能查找“XLSTART”找到所有的目錄，然后將這些目錄下的文件全部拷貝到軟盤。

如果你懷疑病毒是PowerPoint宏病毒，做以下操作：打開一個空的Power Point文件，然后把它另存為一個文件，保存類型選為“演示文稿設(shè)計模板”，然后將此擴展名為.pot文件拷貝到軟盤。

請在該軟盤的標簽上寫明“contains infected files”，并盡量讓軟盤存入盡可能多的帶毒文件。將軟盤做成一個影像文件。

三、Trojans病毒的捕獲

運行regedit.exe文件打開注冊表編輯器。記錄下來下面注冊項中涉及到的文件。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中涉及到的文件。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中涉及的文件。

打開Win.INI文件，將文件中“l(fā)oad=”和“run=”行中涉及的文件記錄下來。

按如上信息確定文件名和它們所在的目錄，并將這些文件壓縮到一個zip文件中。

四、介紹幾款病毒工具軟件

ClrText.zip：當你提交的病毒是Word或Excel宏病毒時，這個工具軟件可以將你的感染文件的內(nèi)容清除，而只保留宏，從而可以避免你的保密信息泄露。

SaveMBR.zip：這個工具軟件可以將你的感染硬盤的MBR讀到一個文件中，然后把文件發(fā)送到NAI進行病毒分析。

RWFLOPY.zip：RWFloppy軟件可以恢復或生成軟盤影像文件。它的作用是當你不想通過郵寄軟盤的方式發(fā)送病毒樣品時，可以用它生成一個影像文件通過電子郵件發(fā)送。特別是對于引導區(qū)病毒，由于它隱藏在軟盤的80、81扇區(qū)，而一般的軟件無法讀取這兩個扇區(qū)。

Readt80.zip：為了正確檢測BOOT區(qū)病毒，我們需要一張包含病毒的軟盤。可以通過DOS狀態(tài)下格式化一張系統(tǒng)軟盤來得到：FORMAT /S A:

需要軟盤的原因是：引導區(qū)病毒通常把自己隱藏在一般DOS軟件不能讀取的地方(對于1.44M軟盤有80個扇區(qū)，從0到79，引導區(qū)病毒把病毒代碼隱藏在80、81扇區(qū))

如果你用一般的軟件來生成一個軟盤影像文件，這個影像文件不包含80和81扇區(qū)，所以也就無法進行分析病毒。這個軟件就是用來把軟盤中包含病毒代碼的80、81扇區(qū)讀出來寫到一個文件中去。

SYSU.zip：這個軟件用來恢復被多種宏病毒感染的系統(tǒng)。