|
病毒能感染的只有可执行代码,在电脑中可执行代码只有引导程序和可执行文件, 当然,还有一类特殊的病毒,如WORD宏病毒,当然宏也是可执行代码。病毒感染BIOS 也是有可能的,不过并无太大意义,因为,现在的FLASHROM的BIOS都是可以写保护的, 再说,万一出事,用无毒的再写一遍即可。所以,一般将病毒分为引导型,文件型,或 是混合型。
想要了解引导型病毒的原理,首先要了解引导区的结构。软盘只有一个引导区,称 为DOS BOOT SECTER ,只要软盘已格式化,就已存在。
其作用为查找盘上有无IO.SYS DOS.SYS,若有则引导,若无则显示‘NO SYSTEM DISK...’等信息。硬盘有两个引导区, 在0面0道1扇区的称为主引导区,内有主引导程序和分区表,主引导程序查找激活分区, 该分区的第一个扇区即为DOS BOOT SECTER。绝大多数病毒感染硬盘主引导扇区和软盘 DOS引导扇区。下面给出基本引导病毒的原理图:
带毒硬盘引导------>BIOS将硬盘主引导区读到内存0:7C00处控制权转到主引导程序(这是千古不变的)(病毒)-------->将0:413单元的值减少1K
或nK------->计算可用内存高段地址将病毒移到高段继续执行-------->修改INT13地址,指向病毒传染段,将原INT13地址保存在某一单元-----
->病毒任务完成,将原引导区调 入0:7C00执行------>机器正常引导
带毒软盘引导----->判断硬盘是否有毒,若无毒则传染------>以下同上(传染时将病毒写入主引导扇区,将原引导程序存入某一扇区)
以上是引导型病毒的基本框图,不论是最古老,还是最新的,万变不离其中.只不过在各细节个人的技巧不同罢了。
驻留内存:一般采取修改0:413地址的方法,因为引导时,DOS还未加载 这是唯一的方法,但有很大的缺点,启动后用MEM查看发现常规内存的总量少于640K,不够隐蔽,当然有办法解决,可以修改INT 8,检测INT 21是否 建立,若建立则可采用DOS功能驻留内存.详细见文件型病毒。
隐形技术:当病毒驻留时,读写引导区均对原引导区操作,就好象 没有病毒一样。
加密技术:一般加密分区表,使无毒盘启动,无法读取硬盘。
引导型病毒的优点:隐蔽性强,兼容性强,只要编的好,是不容易发现 的,通用于DOS WINDOWS WIN95 操作系统。
缺点:很多,传染速毒慢,一定要带毒软盘启动才能传到硬盘,杀毒 容易,只需改写引导区即可.如: fdisk/mbr ,kv300,rav能查出 所有引导型病毒,底板能对引导区写保护,所以现在纯引导型病毒已 很少了。
以上是引导型病毒的基本框图,不论是最古老,还是最新的,万变不离 其中.只不过在各细节个人的技巧不同罢了。 |
