對硬盤主引導記錄的分析結果顯示，硬盤的主引導記錄已經被病毒篡改了，肖遠仔細分析了主引導記錄的分析報告，加上自己經驗進行推測，基本上搞明白了這個病毒的工作原理：

主引導記錄中內置了一段判斷程序，這段判斷程序會首先探測計算機的網絡端口是否開放，如果開放的話，他會將自身以廣播的形式向網絡上發散，如果沒有開放，那麼他將不會主動進行網絡傳播，轉入下一流程，對硬盤進行檢測，判斷硬盤是否被CIH病毒所感染，如果被感染了，他就會把自己隱藏起來，沒有任何動作。

如果判斷程序發現係統沒有被感染，那麼，它會將在硬盤末尾一塊很小的隱藏分區中存儲的CIH病毒原體，拷貝到係統文件夾中，並設置為隨係統自動啟動，做完這一切後，它又會把自己隱藏起來，係統在啟動時，CIH病毒隨之運行，對係統文件進行感染，接下來對係統的破壞工作，就交給CIH病毒進行了。

這個判斷完全是建立在硬盤中有完整的Windows係統的情況下進行的，如果它發現係統中沒有操作係統，也就是說硬盤可能被格式化了，那麼這個判斷程序就會運行一段和CIH病毒存儲在同一隱藏區域的另一個程序，這個程序肖遠根據先前的情況推斷，應該就是那個遊戲程序。

從邏輯上來說，這段判斷程序的工作原理並不是特別複雜，所以，肖遠很容易就做出了上麵的那些推斷。

退出了硬盤分析程序，肖遠又運行了一款磁盤分區管理軟件，這款軟件比係統自帶的那個fdisk要強大一些，能夠探查出那些fdisk無法發現的隱藏分區，運行後，軟件給出了一個磁盤係統分區表清單，果然，在最後有一個隻有一兆的隱藏分區，CIH病毒原體和先前他們玩的那個字母遊戲程序就隱藏在這裏。

這時，肖遠突然想到，剛才唐新宇對磁盤進行分區，用的是係統內置的分區命令fdisk，那麼，他對那些硬盤分完區後，這個小隱藏分區應該沒有被破壞掉，不過一來因為這個分區是隱藏的，二來，這個分區內存儲的病毒需要主引導記錄的程序提取才能運行，那些學生機的電腦上，即使還留著這個分區，裏麵的病毒也變成了死物，沒有了發作機會而已。

為了驗證自己的想法，肖遠拿了一塊還沒有裝到計算機上的學生機硬盤檢測了一下，果然，唐新宇重新分區後，隻是把主引導記錄中的那個判斷程序給破壞掉了，磁盤末尾的那個隱藏分區還在，肖遠順手把這個分區給刪除了，裏麵的病毒也隨之被徹底銷毀。

唐新宇還在繼續幹著他的活，但是也在密切注意著肖遠這邊，他看到肖遠拿起了他分過區的一塊硬盤裝到電腦上，又進行了一番操作，於是趁著ghost克隆等待的時間，湊了過來。

“病毒還沒有殺掉？”

“嗯，還有一點殘留……”

肖遠把剛才的分析結果給唐新宇說了一遍，然後讓唐新宇在硬盤克隆的空閑時，把所有硬盤最後的那個隱藏分區給刪除掉，而他自己則把那個隱藏分區中的CIH病毒原體給拷貝了出來，因為他做這一切都是在DOS下進行的，而CIH病毒感染不了DOS，所以他並不擔心這一舉動會有什麼危險。

拷貝出來後，他將這個病毒進行了反彙編，然後開始研究這個病毒的彙編代碼，看看它究竟是怎麼繞過自己設置的CIH病毒免疫補丁的，研究了一會兒，突然笑著感歎了一句：“原來是這麼回事，真野蠻啊！”

原版的CIH病毒在感染計算機之前，會檢測機器是不是被感染過了，如果感染過了，病毒就不會重新進行感染，而肖遠設置的免疫補丁就是利用了這一點，在係統中偽造出一種被病毒感染的假象，從而達到騙過這個病毒的目的，但是這個被改造過的病毒卻是采用了一種很野蠻，但有效的方式，不管計算機有沒有感染，它都會重新感染一遍，這樣，肖遠設置的補丁自然就沒有了作用。

肖遠繼續分析病毒代碼，發現病毒的發作時間被設置成了每周四上午十點半，而不是原來的4月26號，6月26號以及每月的26號，這才導致今天上午機房的機器病毒大爆發。

除了上麵的這些改動外，這個病毒和原版的CIH病毒並沒有什麼區別，所以肖遠在弄清楚它的工作原理後，就把它刪掉了。