引导型病毒的机理和解析.docxVIP

引导型计算机病毒的机理和解析 摘要：引导型病毒是什么，其技术发展，优缺点，特点以及来源，引导型病毒的机制，解析源于DOS高级版本以及Windows 9X的新型引导型病毒的结构，并提出引导型病毒的检测和防治方法。 关键词：引导区 硬盘 内存 新型引导型病毒 病毒结构 防治 计算机病毒是指在计算机程序中插入的破坏计算机功能或数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有3个基本特性：感染性、潜伏性和表现性。换句话来说计算机病毒是人为的特制程序或指令程序，具有自我复制能力，并有一定的潜伏性、特定的触发性和很大的破坏性。 计算机病毒的种类繁多，按感染方式分为：引导型病毒、文件感染病毒和混合型病毒。引导型病毒感染硬盘主引导扇区或引导扇区以及软盘的引导扇区，如大麻、火炬、BREAK等病毒。 1 引导型病毒 1.1 简介 引导型病毒寄生在主引导区、引导区，病毒利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以引导型病毒寄生在主引导区、引导区，病毒利用操作系统的引导模块放在某个固定的位置， 并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。 引导型病毒进入系统，一定要通过启动过程。在无病毒环境下使用的软盘或硬盘，即使它已感染引导区病毒，也不会进入系统并进行传染，但是，只要用感染引导区病毒的磁盘引导系统，就会使病毒程序进入内存，形成病毒环境。 INCLUDEPICTURE \d /-4o3dSag_xI4khGko9WTAnF6hhy/zhidao/pic/item/1e30e924b899a901880f3ce31a950a7b0208f529.jpg \* MERGEFORMATINET  1.2 计算机启动过程 在分析引导型病毒之前，必须清楚正常的系统启动过程。上电或复位后，ROM_BIOS的初始化程序完成相应的硬件诊断，并设置ROM_BIOS中断和参数，调用INT19H自举。注意ROM_BIOS初始化程序已设置了BIOS中断。 对于硬盘启动，自举程序将硬盘物理第1扇（主引导记录）读到内存首址为0:7C00的区域处，开始执行硬盘主引导区程序，找到激活分区，并将该分区首扇（引导区）也读到0:7C00处（自身下移），然后转移到0:7C00处执行引导记录。 引导软盘启动，设有主引导记录，自举程序直接将A盘引导记录即A盘0面0道1扇区读到内存0:7C00处，执行引导记录。 引导记录引导操作系统，操作系统完成对输入/输出和内核等的初始化后，整个启动过程结束。 1.3 引导型病毒机制 引导型病毒占据主引导扇区或引导扇区的全部或一部分，将分区表信息或引导记录移到磁盘的其他位置，并在文件分配表（FAT）中将这些信息标明为坏簇。病毒在计算机引导时首先获取系统控制权，将病毒的主要部分调入内存并驻留在内存高端，修改常规内存容量大小字单元[0:413H]，将常规内存容量虚假减少，防止以后系统内存调度时覆盖占用内存高端的病毒体。同时修改某些常用中断的中断向量，使之指向内存高端的病毒程序。最后一条跳转指令转向主引导记录或引导记录的位置，将控制权交回系统以完成正常的系统启动工作。以后只要调用这些中断，就会先执行常驻内存高端的病毒体，病毒搜索并感染其他可能有的磁盘，或执行病毒体的表现部分，破坏计算机系统的正常工作。若不满足激发条件，病毒也可以继续潜伏，将系统控制权交回系统。 引导型病毒是在操作系统引导前就已驻留内存高端。由于主引导记录和引导记录在系统启动结束后不再执行，因此引导型病毒必须修改中断向量，指向自己，才有被激活已完成感染，潜伏、破坏等功能的机会。大多数引导型病毒会修改1NT 13H中断，当用户读写磁盘，如执行DIR、EDIT、Windows中列文件目录等命令时，就会执行1NT 13H，激活病毒体。 2 引导型病毒主要特点： 引导型病毒是在安装操作系统之前进入内存，寄生对象又相对固定，因此该类型病毒基本上不得不采用减少操作系统所掌管的内存容量方法来驻留内存高端。而正常的系统引导过程一般是不减少系统内存的。 引导型病毒需要把病毒传染给软盘，一般是通过修改INT 13H的中断向量，而新INT 13H中断向量段址必定指向内存高端的病毒程序。 引导型病毒感染硬盘时，必定驻留硬盘的主引导扇区或引导扇区，并且只驻留一次，因此引导型病毒一般都是在软盘启动过程中把病毒传染给硬盘的。而正常的引导过程一般是不对硬盘主引导区或引导区进行写盘操作的。 引导型病毒的寄生对象相对固定，把当前的系