引导型病毒
日期:2006-07-18 荐:
引导型病毒
一、引导型病毒
病毒能感染的只有可执行代码,在电脑中可执行代码只有引导程序和可执行文件,
当然,还有一类特殊的病毒,如WORD宏病毒,当然宏也是可执行代码。病毒感染BIOS
也是有可能的,不过并无太大意义,因为,现在的FLASHROM的BIOS都是可以写保护的,
再说,万一出事,用无毒的再写一遍即可。所以,一般将病毒分为引导型,文件型,或
是混合型。
想要了解引导型病毒的原理,首先要了解引导区的结构。软盘只有一个引导区,称
为DOS BOOT SECTER ,只要软盘已格式化,就已存在。其作用为查找盘上有无IO.SYS
DOS.SYS,若有则引导,若无则显示‘NO SYSTEM DISK...'等信息。硬盘有两个引导区,
在0面0道1扇区的称为主引导区,内有主引导程序和分区表,主引导程序查找激活分区,
该分区的第一个扇区即为DOS BOOT SECTER。绝大多数病毒感染硬盘主引导扇区和软盘
DOS引导扇区。
下面给出基本引导病毒的原理图:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
带毒硬盘引导
├┤
\/
BIOS将硬盘主引导区
读到内存0:7C00处 ;这是千古不变的,不知谁定的.
控制权转到主引导程序
├┤(病毒)
\/
将0:413单元的值减少1K ;BIOS上机自检,将常规内存大小存入0:413;
├┤ (或nK) -1K 后,系统以后将不在访问最高段的1K内存
\/
计算可用内存高段地址
将病毒移到高段继续执行
├┤
\/
修改INT13地址,指向病毒传染段
将原INT13地址保存在某一单元
├┤
\/
病毒任务完成,将原引导区调
入0:7C00执行
├┤
\/
机器正常引导
带毒软盘引导 病毒13号中断入口
├┤ ├┤
\/ \/
判断硬盘是否有毒, 是在读写软盘吗?-----否
若无毒则传染 ├┤是 ├┤
├┤ \/ ├┤
\/ 此软盘有毒吗?---是 ├┤
以下同上 ├┤否 ├┤ ├┤
\/ ├┤ ├┤
(传染时将病毒写入 对其传染 ├┤ ├┤
主引导扇区,将原 ├┤ ├┤ ├┤
引导程序存入某一 \/ \/ \/
扇区) 执行原INT 13另一张软盘B. 1 & 2 都是在一台干净机上完成.
∶ 3.拿B 到你的染毒机器上用: 把那b1.com 和b2.exe copy-> 硬盘,
∶ rename-> b1.v_c 和 b2.v_e, 把B的引导区 存入文件b3.v_b.
∶ 把它们(b1.v_c, b2.v_e, b3.v_b)upload上来就行了.
∶ 最好把A盘的b1.com,b2.exe和引导区也upload, 以供对照.
∶ 7.如果是慢性病毒,可能需要多重复几次才行.还可以在b1.asm中
∶ 插入若干条 nop ,来增大b1.com b1.exe 文件的长度.
if是系统类的病毒,then 用一干净的盘(diskettes)放进driver
一读就ok!but without any write-protected!
use debug...
-l100 0 0 1
-na:virus
-rcx 200
-w
-q
ok.
--
标签: