百科名片引導(dǎo)型病毒指寄生在磁盤(pán)引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒,。此種病毒利用系統(tǒng)引導(dǎo)時(shí),不對(duì)主引導(dǎo)區(qū)的內(nèi)容正確與否進(jìn)行判別的缺點(diǎn),在引導(dǎo)型系統(tǒng)的過(guò)程中侵入系統(tǒng),駐留內(nèi)存,監(jiān)視系統(tǒng)運(yùn)行,待機(jī)傳染和破壞。按照引導(dǎo)型病毒在硬盤(pán)上的寄生位置又可細(xì)分為主引導(dǎo)記錄病毒和分區(qū)引導(dǎo)記錄病毒,。主引導(dǎo)記錄病毒感染硬盤(pán)的主引導(dǎo)區(qū),如大麻病毒,、2708病毒、火炬病毒等;分區(qū)引導(dǎo)記錄病毒感染硬盤(pán)的活動(dòng)分區(qū)引導(dǎo)記錄,如小球病毒,、Girl病毒等,。 引導(dǎo)型病毒寄生在主引導(dǎo)區(qū)、引導(dǎo)區(qū),,病毒利用操作系統(tǒng)的引導(dǎo)模塊放在某個(gè)固定的位置,, 并且控制權(quán)的轉(zhuǎn)交方式是以物理位置為依據(jù),而不是以操作系統(tǒng)引導(dǎo)區(qū)的內(nèi)容為依據(jù),,因而病毒占據(jù)該物理位置即可獲得控制權(quán),,而將真正的引導(dǎo)區(qū)內(nèi)容搬家轉(zhuǎn)移,待病毒程序執(zhí)行后,,將控制權(quán)交給真正的引導(dǎo)區(qū)內(nèi)容,,使得這個(gè)帶病毒的系統(tǒng)看似正常運(yùn)轉(zhuǎn),而病毒已隱藏在系統(tǒng)中并伺機(jī)傳染,、發(fā)作,。
引導(dǎo)型病毒進(jìn)入系統(tǒng),一定要通過(guò)啟動(dòng)過(guò)程,。在無(wú)病毒環(huán)境下使用的軟盤(pán)或硬盤(pán),,即使它已感染引導(dǎo)區(qū)病毒,,也不會(huì)進(jìn)入系統(tǒng)并進(jìn)行傳染,但是,,只要用感染引導(dǎo)區(qū)病毒的磁盤(pán)引導(dǎo)系統(tǒng),,就會(huì)使病毒程序進(jìn)入內(nèi)存,形成病毒環(huán)境,。
================================================================
引導(dǎo)型病毒介紹
--------------------------------------------------------------------------------
作者: 陳文杰
天啊,,我的文件怎么不翼而飛了?
有的用戶(hù)也許碰到過(guò)上面的問(wèn)題,,其中相當(dāng)一部分原因可能是因?yàn)槟愕碾娔X系統(tǒng)感染了引導(dǎo)扇區(qū)型病毒,。下面將對(duì)該種病毒進(jìn)行介紹。
引導(dǎo)扇區(qū)是硬盤(pán)或軟盤(pán)的第一個(gè)扇區(qū),,對(duì)于操作系統(tǒng)的裝載起著十分重要的作用,。軟盤(pán)只有一個(gè)引導(dǎo)區(qū),被稱(chēng)為DOS BOOT SECTER,,只要軟盤(pán)已格式化就已存在,。其作用為查找盤(pán)上有無(wú)IO.SYS和DOS.SYS命令,若存在則可以引導(dǎo),,若不存在則顯示“NO SYSTEM DISK...”等信息,。硬盤(pán)有兩個(gè)引導(dǎo)區(qū),即O面O道1扇區(qū)稱(chēng)為主引導(dǎo)區(qū),,該分區(qū)的第一個(gè)扇區(qū)即為DOS BOOT SECTER,。絕大多數(shù)病毒感染硬盤(pán)主引導(dǎo)扇區(qū)和軟盤(pán)DOS引導(dǎo)扇區(qū)。一般來(lái)說(shuō),,引導(dǎo)扇區(qū)先于其他程序獲得對(duì)CPU的控制,,通過(guò)把自己放入引導(dǎo)扇區(qū),病毒就可以立刻控制整個(gè)系統(tǒng),。
病毒代碼代替了原始的引導(dǎo)扇區(qū)信息,,并把原始的引導(dǎo)扇區(qū)信息移到磁盤(pán)的其他扇區(qū)。當(dāng)DOS需要訪問(wèn)引導(dǎo)數(shù)據(jù)信息時(shí),,病毒會(huì)引導(dǎo)DOS到貯存引導(dǎo)信息的新扇區(qū),,從而使DOS無(wú)法發(fā)覺(jué)信息被挪到了新的地方。
另外,,病毒的一部分仍駐留在內(nèi)存中,,當(dāng)新的磁盤(pán)插入時(shí),病毒就會(huì)把自己寫(xiě)到新的磁盤(pán)上,。當(dāng)這個(gè)盤(pán)被用于另一臺(tái)機(jī)器時(shí),,病毒就會(huì)以同樣的方法傳播到那臺(tái)機(jī)器的引導(dǎo)扇區(qū)上。
駐留內(nèi)存:一般采取修改0:415地址的方法,,因?yàn)橐龑?dǎo)時(shí),,DOS并不加載,,主是唯一的方法,但有很大的缺點(diǎn),,在啟動(dòng)后用MEM命令查看會(huì)發(fā)現(xiàn)常規(guī)內(nèi)存的總量少于640K,,這就表明有病毒存在,當(dāng)然有辦法解決,,可以修改INT8,,檢測(cè)INT21是否建立,若建立則可采用DOS功能駐留內(nèi)存,。
隱形技術(shù):當(dāng)病毒駐留時(shí),,讀寫(xiě)引導(dǎo)區(qū)均對(duì)原引導(dǎo)區(qū)操作,就好像沒(méi)有病毒一樣,。
加密技術(shù):一般加密分區(qū)表,,使無(wú)毒盤(pán)啟動(dòng),無(wú)法讀取硬盤(pán),。
引導(dǎo)型病毒的優(yōu)點(diǎn):隱蔽性強(qiáng),,兼容性強(qiáng),一個(gè)好的病毒程序是不容易被發(fā)現(xiàn)的,,通用于DOS和Windows 95操作系統(tǒng),。
引導(dǎo)型病毒的缺點(diǎn):很多,如傳染速度慢,,一定要帶毒軟盤(pán)啟動(dòng)才能傳到硬盤(pán),,殺毒容易,只需改寫(xiě)引導(dǎo)區(qū)即可,,如:fdisk/mbr,kv200/k。KV200能查出所有引導(dǎo)型病毒,,底板能對(duì)引導(dǎo)區(qū)寫(xiě)保護(hù),,所以現(xiàn)在純引導(dǎo)型病毒已很少了。
在各種PC機(jī)病毒中,,引導(dǎo)區(qū)型病毒并不是數(shù)量占多數(shù)的一類(lèi),,但引導(dǎo)區(qū)型病毒往往具有較強(qiáng)的破壞性。
這里介紹幾種引導(dǎo)區(qū)型病毒,,可以看出引導(dǎo)區(qū)型病毒的工作原理和破壞作用,。認(rèn)識(shí)了這些病毒的行為,就是尋找對(duì)付各類(lèi)引導(dǎo)區(qū)型病毒做好基礎(chǔ)準(zhǔn)備工作,。
來(lái)自:
引導(dǎo)型病毒是一種在ROM BIOS之后,系統(tǒng)引導(dǎo)時(shí)出現(xiàn)的病毒,它先于操作系統(tǒng),依托的環(huán)境是BIOS中斷服務(wù)程序.引導(dǎo)型病毒是利用操作系統(tǒng)的引導(dǎo)模塊放在某個(gè)固定的位置,并且控制權(quán)的轉(zhuǎn)交方式是以物理位置為依據(jù).而不是以操作系統(tǒng)引導(dǎo)的內(nèi)容為依據(jù).因而病毒占據(jù)該物理位置可獲得控制權(quán),而將真正的引導(dǎo)區(qū)內(nèi)容轉(zhuǎn)移或替換,待病毒程序執(zhí)行后,將控制權(quán)交給真正的引導(dǎo)區(qū)內(nèi)容,使得這個(gè)帶病毒的系統(tǒng)看似正常運(yùn)轉(zhuǎn),而病毒已隱藏在系統(tǒng)中并伺機(jī)傳染,發(fā)作.
引導(dǎo)型病毒按其寄對(duì)象的不同又可分為兩類(lèi),即MBR(主引導(dǎo)區(qū))病毒,BR(引導(dǎo))病毒:MBR病毒也稱(chēng)為分區(qū)病毒,將病毒寄生在硬盤(pán)分區(qū)中主引導(dǎo)程序所占據(jù)的硬盤(pán)0頭0柱面第1個(gè)扇區(qū)中.典型的病毒有大麻(Stoned),2708,INT60病毒等;BR病毒是將病毒寄生在硬盤(pán)邏輯0扇(即0面0道第1個(gè)扇區(qū))>典型的病毒有Brain,小球病毒等.
引導(dǎo)型病毒的主要特點(diǎn)為:
(1)引導(dǎo)型病毒是在安裝操作系統(tǒng)之前進(jìn)入內(nèi)存,寄生對(duì)象又相對(duì)固定,因此該類(lèi)型病毒基本上不得不采用減少操作系統(tǒng)所掌管的內(nèi)存容量方法來(lái)駐留內(nèi)存高端.而正常的系統(tǒng)引導(dǎo)過(guò)程一般是不減少系統(tǒng)內(nèi)存的.
(2)引導(dǎo)型病毒需要把病毒傳染給軟盤(pán),一般是通過(guò)修改INT 13H的中斷向量,而新INT 13H中斷向量段址必定指向內(nèi)存高端的病毒程序.
(3)引導(dǎo)型病毒感染硬盤(pán)時(shí),必定駐留硬盤(pán)的主引導(dǎo)扇區(qū)或引導(dǎo)扇區(qū),并且只駐留一次,因此引導(dǎo)型病毒一般都是在軟盤(pán)啟動(dòng)過(guò)程中把病毒傳染給硬盤(pán)的.而正常的引導(dǎo)過(guò)程一般是不對(duì)硬盤(pán)主引導(dǎo)區(qū)或引導(dǎo)區(qū)進(jìn)行寫(xiě)盤(pán)操作的.
(4)引導(dǎo)型病毒的寄生對(duì)象相對(duì)固定,把當(dāng)前的系統(tǒng)主引導(dǎo)扇區(qū)和引導(dǎo)扇區(qū)與干凈的主引導(dǎo)扇區(qū)和引導(dǎo)扇區(qū)進(jìn)行比較,如果內(nèi)容不一致,可認(rèn)定系統(tǒng)引導(dǎo)區(qū)異常.
|
|
|
來(lái)自: 一朵彩云 ltli... > 《電器》
