引导型病毒的剖析与防治.pdfVIP

  • 25
  • 0
  • 约 8页
  • 2017-03-20 发布于广东
  • 举报
引导型病毒的剖析与防治.pdf

第十八届全国信息保密学术会议(IS2008)论文集 引导型病毒的剖析与防治 张锐1 高翠2 刘军3 解放军理工大学通信工程学院研究生1队1 山东省农村信用社联合社烟台办事处2 解放军理工大学通信工程学院电子信息工程系3 摘要:引导型病毒因其高隐蔽性和破坏性给许多计算机用户带来不少的麻 烦。本文在深入分析引导型病毒原理的基础上,用16位汇编语言实现一个无破坏 作用的病毒程序,并介绍引导型病毒的检测和防治方法。 关键词:引导型病毒引导区防治 计算机病毒成千上万,其分类方法也是多种多样。按照寄生方式和传染途径, 可将病毒分为引导型病毒、文件型病毒和混合型病毒…。引导型病毒天生具有隐 蔽性强、兼容性强和破坏性强的特点。因此,时至今日,它仍在感染着许多计算 机,对计算机系统造成或多或少的危害。本文将在以下章节中分别介绍引导型病 毒的工作原理、代码实现及其检测和防治方法。 引导型病毒的原理 引导型病毒寄生在硬盘的主分区表、启动区和软盘的启动区,代替原操作系 统的引导模块,首先被调入内存特定位置执行,从而获取系统控制权[1]。这是因 为操作系统引导程序放置在固定位置,而控制权的转交方式是以物理地址为依据。 病毒占据引导程序的物理地址,便可获得控制权[2 J。引导型病毒代码执行完毕后, 会将控制权交还给系统,正常启动计算机的操作系统。这个过程十分隐蔽,不易 被察觉。这正是引导型病毒的一大特性。 1.1计算机系统的引导过程 计算机的启动过程大概可以分为三个阶段: ·428· 引导型病毒的剖析与防治 (1)从按下电源按钮到CPUReset:这一阶段通过硬件逻辑电路来完成CPU Reset。 (2)BIOS引导阶段(从CPUReset到操作系统引导):这一阶段完全在BIOS 系统。 Boot (3)操作系统引导阶段:由主引导记录(Main Record,MBR)和引导分 Boot 区的操作系统引导记录(Dos Record,DBR)完成。 正常的硬盘引导过程可将操作系统引导阶段划分为以下几个步骤,即系统引 导过程: (1)开机; OnSelf (2)BIOS加电自检(POsT_PowerTest),内存地址为0FFF:0000; (3)将硬盘MBR(0头0道1扇区)读入内存地址0000:7C00处; ROM 则转去尝试其他介质;如果没有其他可启动介质,则显示“No BASIC”,然 后停机; (5)跳转到0000:7C00处执行MBR中的程序; (6)MBR先将自己复制到0000:0600处,然后继续执行; (7)在主分区表中搜索标志为活动的分区。如果发现没有活动分区或者不止 一个活动分区,则停止; (8)将活动分区的第一个扇区(DBR)读人内存地址0000:7C00处; ingOperatingSystem”,然后停止,或尝试软盘启动;否则,执行(10); (10)跳转到0000:7C00处继续执行特定系统的启动程序; (“)启动系统。 (8)、(9)、(10)步由MBR中的引导程序完成。 1.2引导型病毒的工作原理 引导型病毒主要感染计算机磁盘的引导扇区,先于操作系统执行,依托的环 境是BIOS中断服务程序㈨。若病毒感染的是磁盘主引导区,在系统引导过程的第 ·429· 第十八届全国信息保密学术会议(IS2008)论文集 处的字等于Ox55AA时,执行病毒代码。若病毒

文档评论(0)

1亿VIP精品文档

相关文档