反饋

石頭病毒

“石頭”病毒別名“大麻”病毒，英文名為“Stone”或“Marijuana”，是一種操作系統型病毒。它攻擊軟盤的引導扇區或硬盤的主引導區。當使用帶毒軟盤啓動系統時，如果硬盤系統原來無此病毒，則在屏幕上出現“Your PC is now stoned!”字樣並將病毒傳染到硬盤中。此病毒破壞系統文件，破壞數據，並可能破壞硬盤的主引導記錄，導致硬盤無法啓動甚至無法進入硬盤。^[1]

中文名: 石頭病毒
外文名: Stone
別名: 大麻病毒

性質: 操作系統型病毒
構成: 引導模塊、傳染模塊和表現模塊
學科: 計算機科學

石頭病毒簡介

石頭病毒是一種引導型病毒，該病毒是1988年在新西蘭首先發現的，1989年下半年傳入我國。用含有大麻病毒的系統盤啓動系統時，有時會在屏幕出現。You PC NowStoned!”的字樣，然後系統可以進入正常，也可能進入死循環，就必須重新啓動，才能進入正常的DOS提示符狀態。系統感染病毒後，如果用CHKDSK檢查內存，會發現內存容量減少了2K字節。特別是隨着被感染磁盤上存儲文件的增加，會產生文件丟失、目錄區混亂等現象。

石頭病毒可傳染所有的IBM-PC機及286、386等系列機和兼容機，而且和採用的DOS版本無關。當用帶毒的系統盤啓動時，磁盤首先被感染，然後對A驅動器中軟盤只要有一次讀寫操作，就將其感染（只傳A驅動器），屬於一種惡性病毒。

石頭病毒構成

石頭病毒包括引導模塊、傳染模塊和表現模塊3個部分。

當使用帶有石頭病毒的軟盤引導系統時，病毒的引導模塊則被調入內存。病毒的引導模塊調用它自己的傳染模塊。

石頭病毒的傳染模塊分為兩部分：第一部分用來傳染硬盤，在引導模塊執行時被調用；第二部分用來傳染A驅動器中的軟盤。這部分是在調用磁盤操作中斷INTI3H時獲得執行權的。但是，石頭病毒不傳染B驅動器中的軟盤。

石頭病毒的表現模塊是在用感染了石頭病毒的磁盤啓動系統時，有八分之一的可能(即時鐘技術後3位為000時)被調用，此時PC喇叭鳴響，屏幕出現“ Your pc is now stoned!"的信息，表明計算機系統已經感染了大麻病毒。^[2]

石頭病毒引導過程

在系統啓動時，大麻病毒的病毒程序在正常的系統引導之前，先要初始化自身入口及需要的參數，並將全部病毒程序讀入內存，以備執行，然後再去讀正常的引導程序，進行正常系統啓動。整個過程可大致分為

(1)系統啓動，ROM BIOS不經校驗，直接將已佔據DOS引導扇區的病毒程序讀入內存的0000：7C00H位置，並開始執行；

(2)病毒程序修改INTI3H入口地址,它將INTI3H的入口地址保存到0000:7C09H至0000：C0CH處；

(3)將病毒程序移到內存高端的2K的空間，並將系統的內存容量減去2K，以保護病毒程序長期駐留內存；

(4)修改磁盤中斷INT13H的中斷向量,使其指向病毒程序傳染部分的入口,以便在讀寫磁盤操作時進行傳染

(5)將正常的引導程序讀到內存0000：7C00H處，若是硬盤啓動，則讀入的是轉儲在0磁0柱面7扇區中的主引導程序和分區表；若是軟盤啓動，則讀入的是存在1面0道3扇區中的DOS引導程序，把控制權交給正常主引導程序或DOS引導程序，進行系統的正常引導。^[2]

石頭病毒傳染過程

大麻病毒的傳染模塊的第一部分傳染硬盤。它對硬盤的傳染只在啓動時進行，一旦啓動完畢,它就只傳染軟盤。如果用帶有大麻病毒的軟盤啓動系統時，若硬盤沒有被傳染，則傳染硬盤。

大麻病毒傳染硬盤的過程是首先讀入硬盤的第一扇區，然後把第一扇區與病毒程序的前4個字節進行比較，若前4個字節相同，為EAO50000，則説明硬盤已被傳染，不再進行重複傳染。否則，説明硬盤尚未染上病毒而將被傳染。

大麻病毒對硬盤進行傳染時，首先將硬盤的主引導扇區的內容保存到0磁頭0柱面7扇區，然後把硬盤的分區表移到內存高端病毒程序的後面，再把病毒程序和原硬盤分區表一起寫到硬盤的第1扇區(主引導扇區)處。最後，將控制杈交還給正常的DOS引導程序。大麻病毒傳染模塊的第二部分傳染軟盤。當病毒駐留內存後，由於病毒程序已截獲了中斷INT13H，因而在讀寫軟盤操作時,首先執行病毒程序的傳染部分。大麻病毒傳染部分首先判斷是否所讀的盤為A盤，然後判斷A盤是否已傳染過大麻病毒。同樣是通過比較A盤引導區的前4個字節是否為EA05000來判斷。如果不是，則進行傳染，首先，將A盤的引導區寫入A盤0道1面3扇區，然後將大麻病毒程序本身寫入A盤的引導扇區，使A盤染上病毒。傳染完成後病毒才執行正常的INTI3H中斷程序。^[2]