什么是引导型病毒,引导型病毒

引导型病毒 - 电脑安全 - 电脑教程网

引导型病毒

日期:2006-07-18   荐:
  引导型病毒  一、引导型病毒    病毒能感染的只有可执行代码,在电脑中可执行代码只有引导程序和可执行文件, 当然,还有一类特殊的病毒,如WORD宏病毒,当然宏也是可执行代码。病毒感染BIOS 也是有可能的,不过并无太大意义,因为,现在的FLASHROM的BIOS都是可以写保护的, 再说,万一出事,用无毒的再写一遍即可。所以,一般将病毒分为引导型,文件型,或 是混合型。    想要了解引导型病毒的原理,首先要了解引导区的结构。软盘只有一个引导区,称 为DOS BOOT SECTER ,只要软盘已格式化,就已存在。其作用为查找盘上有无IO.SYS DOS.SYS,若有则引导,若无则显示‘NO SYSTEM DISK...'等信息。硬盘有两个引导区, 在0面0道1扇区的称为主引导区,内有主引导程序和分区表,主引导程序查找激活分区, 该分区的第一个扇区即为DOS BOOT SECTER。绝大多数病毒感染硬盘主引导扇区和软盘 DOS引导扇区。    下面给出基本引导病毒的原理图: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    带毒硬盘引导     ├┤     \/ BIOS将硬盘主引导区       读到内存0:7C00处         ;这是千古不变的,不知谁定的. 控制权转到主引导程序        ├┤(病毒)     \/ 将0:413单元的值减少1K       ;BIOS上机自检,将常规内存大小存入0:413;     ├┤   (或nK)       -1K 后,系统以后将不在访问最高段的1K内存     \/              计算可用内存高段地址        将病毒移到高段继续执行      ├┤     \/ 修改INT13地址,指向病毒传染段    将原INT13地址保存在某一单元     ├┤     \/ 病毒任务完成,将原引导区调 入0:7C00执行     ├┤     \/   机器正常引导   带毒软盘引导           病毒13号中断入口     ├┤                ├┤     \/                 \/   判断硬盘是否有毒,          是在读写软盘吗?-----否   若无毒则传染              ├┤是      ├┤     ├┤                 \/        ├┤     \/               此软盘有毒吗?---是  ├┤    以下同上               ├┤否    ├┤ ├┤                       \/     ├┤ ├┤ (传染时将病毒写入            对其传染    ├┤ ├┤ 主引导扇区,将原              ├┤     ├┤ ├┤ 引导程序存入某一              \/      \/  \/ 扇区)                   执行原INT 13另一张软盘B. 1 & 2 都是在一台干净机上完成. ∶ 3.拿B 到你的染毒机器上用: 把那b1.com 和b2.exe copy-> 硬盘, ∶  rename-> b1.v_c 和 b2.v_e, 把B的引导区 存入文件b3.v_b. ∶  把它们(b1.v_c, b2.v_e, b3.v_b)upload上来就行了. ∶  最好把A盘的b1.com,b2.exe和引导区也upload, 以供对照. ∶ 7.如果是慢性病毒,可能需要多重复几次才行.还可以在b1.asm中 ∶  插入若干条 nop ,来增大b1.com b1.exe 文件的长度. if是系统类的病毒,then 用一干净的盘(diskettes)放进driver 一读就ok!but without any write-protected! use debug... -l100 0 0 1    -na:virus -rcx 200 -w -q ok. --
标签: