引导型病毒库的维护和使用.pdfVIP

第十三届全国计算机安全技术交流会论文集 引导型病毒库的维护与使用 东南大学计算机系 黄步根程正潮 摘 要：本童．AkPC系统的引导结构及引导型病毒的传染方式特点出发，结合计算机反 病毒产品的引导型病毒查杀能力的检测，探讨引导型病毒库的建立、维护、使用等方面的 技术问题． 主题词： 计算机病毒计算机安全产品检测 公安部门肩负计算机反病毒产品的检测任务。引导型病毒的查杀能力也应该包含在检 测内容中，而由于引导型病毒的传染特殊性，使得其病毒样本的采集、制作都比文件型病 毒更为复杂，在对反病毒产品检测时必须作特殊处理。 l、PC系统的引导结构 BIOS自诊断程序及设备初始化程序，然后执 在Pc加电或复位后，自动执行固化的ROM 行INT 面0柱1扇区主引导扇区程序。 (也可以由软盘或光盘引导) 主引导扇区(以下简称MBR)主要包括主引导程序和逻辑分区表。主引导程序一般先浮 动到O：7EOOh，主引导程序的作用是检查活动分区(可自举分区)是否唯一存在，若是，则 检查分区引导扇区BOOT是否存在，存在则装入NO：7COOh并执行之。 否存在，存在则装入执行之，完成引导工作。 其BOOT扇区与DOS的BOOT扇区完全不同。 以下所说引导扇区包括硬盘8BR扇区和软硬盘BOOT扇区。磁盘表示软盘和硬盘。 2、引导型病毒及其传染方式 引导型病毒传染磁盘的引导扇区，包括MBR扇区和BOOT扇区等。有一些多型病毒既传染 可执行文件，又传染系统引导扇区。 2．1引导型病毒的盘区占位 2．1．1病毒传染MBR扇区 硬盘主引导扇区除有引导程序外，还有逻辑分区表，病毒传染硬盘主引导扇区时占据 硬盘主引导扇区位置，对原主引导扇区有3种不同的处理方式： 32 第十三届全国计算机安全技术交流会论文集 (1)在主引导扇区中保留原分区表信息，并将原主引导扇区寻找另外的区域存放。在 病毒程序完成其工作后，将控制权交与原主引导程序，完成引导工作。 (2)在主引导扇区保留原分区表信息，但不保存原主引导扇区中的其他信息，由病毒 程序来完成引导工作，加载BOOT程序。保存的原分区表参数也可能加密存放。 有些应用软件对MBR作了特殊处理，不采用标准的MBR格式，使得如果病毒不保存原MBR， 则被病毒传染后不能正常启动。 (3)在主引导扇区中不保留原分区表信息，但将原主引导扇区寻找另外的区域存放， 病毒程序完成其工作后，将控制权交给原主引导程序，完成引导工作。 如果主引导扇区中没有原样保留原分区表信息，则用无毒软盘引导系统时，不能访问 逻辑硬盘。只有在病毒程序控制下才能访问逻辑硬盘。 2．1．2病毒传染BOOT扇区 有少数引导型病毒不传染MBR扇区，而传染硬盘BOOT扇区，并保存原BOOT扇区。 引导型病毒传染软盘时，不存在分区表信息问题，因而只有两种情况，保存或不保存 原BOOT扇区，如不保存，则在病毒程序中完成BOOT程序的工作。由于各种操作系统的BOOT 程序功能不完全相同，难以统一，因而多数引导型病毒传染软盘时保存原BOOT扇区。 在BOOT扇区中包含有BPB参数，引导型病毒传染磁盘时总要保存原BPB参数，否卿JDOS 无法读写磁盘。 2．13病毒夹在MBR和BOOT中 病毒可以通过修改硬盘分区表将病毒扇区作为“活动分区”在执行MBR后BOOT前执行。 2．1．4病毒的多扇区处理 引导型病毒程序有大有小，小的占1个扇区，大的占几个扇区，有的还要保留原引导扇 区。多个扇区被分为两部分，第一部分1个扇区抢占硬盘MBR扇区或软硬盘BOOT扇区，其余 部分另外存放。对于硬盘，通常存放在0柱0面隐含扇区，而对于软盘．则存放在目录区或 文件数据区或另外格式化特殊扇区。存放在目录区时，如果原有目录区目录项已满，则这 部分目录丢失，如果原来目录区没有空闲，病毒占据目录区将会出现目录混乱现象。 病毒存放在数据区时，有的占据空闲扇区，并在文件分配表(FAT)中做上坏块标记， 以防病毒数据被覆盖，有的占据盘区中最后位置，其中有的病毒在引导记录中修改BPB参数 中磁盘总扇数数据项，使病毒占据扇区不被DOS使用。 病毒存放在另外格式化的特殊扇区时并不在BPB中登记，只由病毒程