引导型病毒机理和解析

引导型计算机病毒的机理和解析摘要：引导型病毒是什么，其技术进展，优缺点，特点以与来源，引导型病毒的机制，解析源于 DOS 高级版本以与 Windows 9X 的新型引导型病毒的结构，并提出引导型病毒的检测和防治方法。关键词：引导区 硬盘 存 新型引导型病毒 病毒结构 防治计算机病毒是指在计算机程序中插入的破坏计算机功能或数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有 3 个基本特性：感染性、埋伏性和表现性。换句话来说计算机病毒是人为的特制程序或指令程序，具有自我复制能力，并有一定的埋伏性、特定的触发性和很大的破坏性。计算机病毒的种类繁多，按感染方式分为：引导型病毒、文件感染病毒和混合型病毒。引导型病毒感染硬盘主引导扇区或引导扇区以与软盘的引导扇区，如大麻、火炬、BREAK 等病毒。1 引导型病毒1.1 简介引导型病毒寄生在主引导区、引导区，病毒利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以引导型病毒寄生在主引导区、引导区，病毒利用操作系统的引导模块放在某个固定的位置， 并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区容搬家转移，待病毒程序执行后，将控制权交给真正的引导区容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。引导型病毒进入系统，一定要通过启动过程。在无病毒环境下使用的软盘或硬盘，即使它已感染引导区病毒，也不会进入系统并进行传染，但是，只要用感染引导区病毒的磁盘引导系统，就会使病毒程序进入存，形成病毒环境。1.2 计算机启动过程在分析引导型病毒之前，必须清楚正常的系统启动过程。上电或复位后，ROM_BIOS 的初始化程序完成相应的硬件诊断，并设置ROM_BIOS 中断和参数，调用 INT19H 自举。注意 ROM_BIOS 初始化程序已设置了 BIOS 中断。对于硬盘启动，自举程序将硬盘物理第 1 扇（主引导记录）读到存首址为 0:7C00 的区域处，开始执行硬盘主引导区程序，找到激活分区，并将该分区首扇（引导区）也读到 0:7C00 处（自身下移），然后转移到 0:7C00 处执行引导记录。引导软盘启动，设有主引导记录，自举程序直接将 A 盘引导记录即 A 盘 0 面 0 道 1 扇区读到存 0:7C00 处，执行引导记录。引导记录引导操作系统，操作系统完成对输...