引导型病毒的剖析与防治.pdfVIP

第十八届全国信息保密学术会议(IS2008)论文集 引导型病毒的剖析与防治 张锐1 高翠2 刘军3 解放军理工大学通信工程学院研究生1队1 山东省农村信用社联合社烟台办事处2 解放军理工大学通信工程学院电子信息工程系3 摘要：引导型病毒因其高隐蔽性和破坏性给许多计算机用户带来不少的麻 烦。本文在深入分析引导型病毒原理的基础上，用16位汇编语言实现一个无破坏 作用的病毒程序，并介绍引导型病毒的检测和防治方法。 关键词：引导型病毒引导区防治 计算机病毒成千上万，其分类方法也是多种多样。按照寄生方式和传染途径， 可将病毒分为引导型病毒、文件型病毒和混合型病毒…。引导型病毒天生具有隐 蔽性强、兼容性强和破坏性强的特点。因此，时至今日，它仍在感染着许多计算 机，对计算机系统造成或多或少的危害。本文将在以下章节中分别介绍引导型病 毒的工作原理、代码实现及其检测和防治方法。 引导型病毒的原理 引导型病毒寄生在硬盘的主分区表、启动区和软盘的启动区，代替原操作系 统的引导模块，首先被调入内存特定位置执行，从而获取系统控制权[1]。这是因 为操作系统引导程序放置在固定位置，而控制权的转交方式是以物理地址为依据。 病毒占据引导程序的物理地址，便可获得控制权[2 J。引导型病毒代码执行完毕后， 会将控制权交还给系统，正常启动计算机的操作系统。这个过程十分隐蔽，不易 被察觉。这正是引导型病毒的一大特性。 1．1计算机系统的引导过程 计算机的启动过程大概可以分为三个阶段： ·428· 引导型病毒的剖析与防治 (1)从按下电源按钮到CPUReset：这一阶段通过硬件逻辑电路来完成CPU Reset。 (2)BIOS引导阶段(从CPUReset到操作系统引导)：这一阶段完全在BIOS 系统。 Boot (3)操作系统引导阶段：由主引导记录(Main Record，MBR)和引导分 Boot 区的操作系统引导记录(Dos Record，DBR)完成。 正常的硬盘引导过程可将操作系统引导阶段划分为以下几个步骤，即系统引 导过程： (1)开机； OnSelf (2)BIOS加电自检(POsT_PowerTest)，内存地址为0FFF：0000； (3)将硬盘MBR(0头0道1扇区)读入内存地址0000：7C00处； ROM 则转去尝试其他介质；如果没有其他可启动介质，则显示“No BASIC”，然 后停机； (5)跳转到0000：7C00处执行MBR中的程序； (6)MBR先将自己复制到0000：0600处，然后继续执行； (7)在主分区表中搜索标志为活动的分区。如果发现没有活动分区或者不止 一个活动分区，则停止； (8)将活动分区的第一个扇区(DBR)读人内存地址0000：7C00处； ingOperatingSystem”，然后停止，或尝试软盘启动；否则，执行(10)； (10)跳转到0000：7C00处继续执行特定系统的启动程序； (“)启动系统。 (8)、(9)、(10)步由MBR中的引导程序完成。 1．2引导型病毒的工作原理 引导型病毒主要感染计算机磁盘的引导扇区，先于操作系统执行，依托的环 境是BIOS中断服务程序㈨。若病毒感染的是磁盘主引导区，在系统引导过程的第 ·429· 第十八届全国信息保密学术会议(IS2008)论文集 处的字等于Ox55AA时，执行病毒代码。若病毒