引导型病毒

　　引导型病毒 　一、引导型病毒 　　 病毒能感染的只有可执行代码，在电脑中可执行代码只有引导程序和可执行文件， 当然，还有一类特殊的病毒，如WORD宏病毒，当然宏也是可执行代码。病毒感染BIOS 也是有可能的，不过并无太大意义，因为，现在的FLASHROM的BIOS都是可以写保护的， 再说，万一出事，用无毒的再写一遍即可。所以，一般将病毒分为引导型，文件型，或 是混合型。 　　 想要了解引导型病毒的原理，首先要了解引导区的结构。软盘只有一个引导区，称 为DOS BOOT SECTER ，只要软盘已格式化，就已存在。其作用为查找盘上有无IO.SYS DOS.SYS,若有则引导，若无则显示‘NO SYSTEM DISK...'等信息。硬盘有两个引导区， 在0面0道1扇区的称为主引导区，内有主引导程序和分区表，主引导程序查找激活分区， 该分区的第一个扇区即为DOS BOOT SECTER。绝大多数病毒感染硬盘主引导扇区和软盘 DOS引导扇区。 　　 下面给出基本引导病毒的原理图： ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~　 　 带毒硬盘引导 　　　 ├┤ 　　　 \/ BIOS将硬盘主引导区　　　　　　 读到内存0:7C00处　　　　　　　　　;这是千古不变的,不知谁定的. 控制权转到主引导程序　　　 　　　 ├┤(病毒) 　　　 \/ 将0:413单元的值减少1K　　　　　　 ;BIOS上机自检,将常规内存大小存入0:413; 　　　 ├┤　　　(或nK)　　　　　　 -1K 后,系统以后将不在访问最高段的1K内存 　　　 \/　　　　　　　　　　　　　 计算可用内存高段地址　　　　　　　 将病毒移到高段继续执行　 　　　 ├┤ 　　　 \/ 修改INT13地址,指向病毒传染段　　　 将原INT13地址保存在某一单元 　　　 ├┤ 　　　 \/ 病毒任务完成,将原引导区调 入0:7C00执行 　　　 ├┤ 　　　 \/ 　 机器正常引导 　 带毒软盘引导　　　　　　　　　　　病毒13号中断入口 　　　 ├┤　　　　　　　　　　　　　　　　├┤ 　　　 \/　　　　　　　　　　　　　　　　　\/ 　 判断硬盘是否有毒,　　　　　　　　　　是在读写软盘吗?-----否 　 若无毒则传染　　　　　　　　　　　　　　├┤是　　　　　　├┤ 　　　 ├┤　　　　　　　　　　　　　　　　 \/　　　　　　　 ├┤ 　　　 \/　　　　　　　　　　　　　　　此软盘有毒吗?---是　 ├┤ 　　 以下同上　　　　　　　　　　　　　　　├┤否　　　 ├┤ ├┤ 　　　　　　　　　　　　　　　　　　　　　 \/　　　　　├┤ ├┤ (传染时将病毒写入　　　　　　　　　　　 对其传染　　　 ├┤ ├┤ 主引导扇区,将原　　　　　　　　　　　　　 ├┤　　　　 ├┤ ├┤ 引导程序存入某一　　　　　　　　　　　　　 \/　　　　　 \/　 \/ 扇区)　　　　　　　　　　　　　　　　　　　执行原INT 13另一张软盘B. 1 & 2 都是在一台干净机上完成. ∶ 3.拿B 到你的染毒机器上用: 把那b1.com 和b2.exe copy-> 硬盘, ∶　 rename-> b1.v_c 和 b2.v_e, 把B的引导区 存入文件b3.v_b. ∶　 把它们(b1.v_c, b2.v_e, b3.v_b)upload上来就行了. ∶　 最好把A盘的b1.com,b2.exe和引导区也upload, 以供对照. ∶ 7.如果是慢性病毒,可能需要多重复几次才行.还可以在b1.asm中 ∶　 插入若干条 nop ,来增大b1.com b1.exe 文件的长度. if是系统类的病毒,then 用一干净的盘(diskettes)放进driver 一读就ok!but without any write-protected! use debug... -l100 0 0 1　　　 -na:virus -rcx 200 -w -q ok. --