-
引導型病毒
鎖定
- 中文名
- 引導型病毒
- 類 型
- 病毒
- 生存方式
- 寄存
- 性 質
- 名詞
引導型病毒定義
引導型病毒寄生在主引導區、引導區,病毒利用操作系統的引導模塊放在某個固定的位置, 並且控制權的轉交方式是以物理位置為依據,而不是以操作系統引導區的內容為依據,因而病毒佔據該物理位置即可獲得控制權,而將真正的引導區內容搬家轉移,待病毒程序執行後,將控制權交給真正的引導區內容,使得這個帶病毒的系統看似正常運轉,而病毒已隱藏在系統中並伺機傳染、發作。
引導型病毒進入系統,一定要通過啓動過程。在無病毒環境下使用的軟盤或硬盤,即使它已感染引導區病毒,也不會進入系統並進行傳染,但是,只要用感染引導區病毒的磁盤引導系統,就會使病毒程序進入內存,形成病毒環境。
================================================================
引導型病毒介紹
--------------------------------------------------------------------------------
作者:陳文傑
天啊,我的文件怎麼不翼而飛了?
有的用户也許碰到過上面的問題,其中相當一部分原因可能是因為你的電腦系統感染了引導扇區型病毒。下面將對該種病毒進行介紹。
引導扇區是硬盤或軟盤的第一個扇區,對於操作系統的裝載起着十分重要的作用。軟盤只有一個引導區,被稱為DOS BOOT SECTER,只要軟盤已格式化就已存在。其作用為查找盤上有無IO.SYS和DOS.SYS命令,若存在則可以引導,若不存在則顯示“NO SYSTEM DISK...”等信息。硬盤有兩個引導區,即O面O道1扇區稱為主引導區,該分區的第一個扇區即為DOS BOOT SECTER。絕大多數病毒感染硬盤主引導扇區和軟盤DOS引導扇區。一般來説,引導扇區先於其他程序獲得對CPU的控制,通過把自己放入引導扇區,病毒就可以立刻控制整個系統。
另外,病毒的一部分仍駐留在內存中,當新的磁盤插入時,病毒就會把自己寫到新的磁盤上。當這個盤被用於另一台機器時,病毒就會以同樣的方法傳播到那台機器的引導扇區上。
駐留內存:一般採取修改0:415地址的方法,因為引導時,DOS並不加載,主是唯一的方法,但有很大的缺點,在啓動後用MEM命令查看會發現常規內存的總量少於640K,這就表明有病毒存在,當然有辦法解決,可以修改INT8,檢測INT21是否建立,若建立則可採用DOS功能駐留內存。
引導型病毒技術
引導型病毒優缺點
引導型病毒的優點:隱蔽性強,兼容性強,一個好的病毒程序是不容易被發現的,通用於DOS和Windows 95操作系統。
引導型病毒的缺點:很多,如傳染速度慢,一定要帶毒軟盤啓動才能傳到硬盤,殺毒容易,只需改寫引導區即可,如:fdisk/mbr,kv200/k。KV200能查出所有引導型病毒,底板能對引導區寫保護,所以純引導型病毒已很少了。
在各種PC機病毒中,引導區型病毒並不是數量佔多數的一類,但引導區型病毒往往具有較強的破壞性。
這裏介紹幾種引導區型病毒,可以看出引導區型病毒的工作原理和破壞作用。認識了這些病毒的行為,就是尋找對付各類引導區型病毒做好基礎準備工作。
引導型病毒來自
引導型病毒是一種在ROM BIOS之後,系統引導時出現的病毒,它先於操作系統,依託的環境是BIOS中斷服務程序.引導型病毒是利用操作系統的引導模塊放在某個固定的位置,並且控制權的轉交方式是以物理位置為依據.而不是以操作系統引導的內容為依據.因而病毒佔據該物理位置可獲得控制權,而將真正的引導區內容轉移或替換,待病毒程序執行後,將控制權交給真正的引導區內容,使得這個帶病毒的系統看似正常運轉,而病毒已隱藏在系統中並伺機傳染,發作.
引導型病毒按其寄對象的不同又可分為兩類,即MBR(主引導區)病毒,BR(引導)病毒:MBR病毒也稱為分區病毒,將病毒寄生在硬盤分區中主引導程序所佔據的硬盤0頭0柱面第1個扇區中.典型的病毒有大麻(Stoned),2708,INT60病毒等;BR病毒是將病毒寄生在硬盤邏輯0扇(即0面0道第1個扇區)>典型的病毒有Brain,小球病毒等.
引導型病毒主要特點為
⑷引導型病毒的寄生對象相對固定,把當前的系統主引導扇區和引導扇區與乾淨的主引導扇區和引導扇區進行比較,如果內容不一致,可認定系統引導區異常.
