引导型计算机病毒的机理和解析摘要:引导型病毒是什么,其技术进展,优缺点,特点以与来源,引导型病毒的机制,解析源于 DOS 高级版本以与 Windows 9X 的新型引导型病毒的结构,并提出引导型病毒的检测和防治方法。关键词:引导区 硬盘 存 新型引导型病毒 病毒结构 防治计算机病毒是指在计算机程序中插入的破坏计算机功能或数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有 3 个基本特性:感染性、埋伏性和表现性。换句话来说计算机病毒是人为的特制程序或指令程序,具有自我复制能力,并有一定的埋伏性、特定的触发性和很大的破坏性。计算机病毒的种类繁多,按感染方式分为:引导型病毒、文件感染病毒和混合型病毒。引导型病毒感染硬盘主引导扇区或引导扇区以与软盘的引导扇区,如大麻、火炬、BREAK 等病毒。1 引导型病毒1.1 简介引导型病毒寄生在主引导区、引导区,病毒利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依据,而不是以引导型病毒寄生在主引导区、引导区,病毒利用操作系统的引导模块放在某个固定的位置, 并且控制权的转交方式是以物理位置为依据,而不是以操作系统引导区的容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区容搬家转移,待病毒程序执行后,将控制权交给真正的引导区容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。引导型病毒进入系统,一定要通过启动过程。在无病毒环境下使用的软盘或硬盘,即使它已感染引导区病毒,也不会进入系统并进行传染,但是,只要用感染引导区病毒的磁盘引导系统,就会使病毒程序进入存,形成病毒环境。1.2 计算机启动过程在分析引导型病毒之前,必须清楚正常的系统启动过程。上电或复位后,ROM_BIOS 的初始化程序完成相应的硬件诊断,并设置ROM_BIOS 中断和参数,调用 INT19H 自举。注意 ROM_BIOS 初始化程序已设置了 BIOS 中断。对于硬盘启动,自举程序将硬盘物理第 1 扇(主引导记录)读到存首址为 0:7C00 的区域处,开始执行硬盘主引导区程序,找到激活分区,并将该分区首扇(引导区)也读到 0:7C00 处(自身下移),然后转移到 0:7C00 处执行引导记录。引导软盘启动,设有主引导记录,自举程序直接将 A 盘引导记录即 A 盘 0 面 0 道 1 扇区读到存 0:7C00 处,执行引导记录。引导记录引导操作系统,操作系统完成对输...
