引导型病毒

引导型病毒

(以鬼影病毒为例子)

引导型病毒指寄生在磁盘引导区主引导区计算机病毒

 

此种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,

在引导型系统的过程中侵入系统,驻留内存,监视系统运行,待机传染和破坏。

按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。

主引导记录病毒感染硬盘的主引导区,如大麻病毒、2708病毒、火炬病毒等;

分区引导记录病毒感染硬盘的活动分区引导记录,如小球病毒、Girl病毒等。

 

知识点:

引导区就是系统盘(通常是C盘,但不一定,因为你可以改盘符的)上的一块区域,

引导区内写了一些信息,告诉电脑应该到哪去找操作系统的引导文件

(98是io.sys,msdos.sys等,2K是ntldr等)

<NTLDR一般存放于C盘根目录下,是一个具有隐藏和只读属性的系统文件

它的主要职责是解析Boot.ini文件。如果你对它的理解还不是很清楚,

那么下面我们就以Windows XP为例介绍NTLDR在系统引导过程中的作用。

Windows XP在引导过程中将经历预引导、引导和加载内核三个阶段,

这与Windows 9X直接读取引导扇区的方式来启动系统是完全不一样的,

NTLDR在这三个阶段的引导过程中将起到至关重要的作用。>。】

 

主引导区是每块硬盘(注意是硬盘,不是分区)有一个,存放的是系统的主引导信息、分区信息。】

 

【硬盘的第一个扇区被保留为主引导扇区,

它位于整个硬盘的0磁道0柱面1扇区,

包括硬盘主引导记录MBR(Main Boot Record)和分区表DPT(Disk Partition Table)。

其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。

至于分区表,很多人都知道,

以80H或00H为开始标志,以55AAH为结束标志,共64字节,位于本扇区的最末端。

故MBR由三部分构成:

1.主引导程序代码,占446字节

2.硬盘分区表DPT,占64字节

3.主引导扇区结束标志55AA

 

即:硬盘主引导扇区= 硬盘主引导记录(MBR) + 硬盘分区表(DPT) 】

 

【用FDISK 进行硬盘分区时产生的,它属于整个硬盘而不属于某个独立的DOS 分区,是硬盘正确引导和使用的必要条件.

物理位置:0柱面0磁头1扇区(Cylinder 0,Head 0,Sector 1)

系统扇区(System Sectors):0C-0H-2S,0C-0H-63S,共 62 Sectors

大小:512字节

其中:MBR 446字节(0000--01BD),DPT 64字节(01BE--01FD),结束标志2字节(55 AA)

功能:MBR通过检查DPT分区信息引导系统跳转至DBR

详解: (DEBUG -A: MOV AX,0201 MOV BX,0200 MOV CX,0001 MOV DX,0080 INT 13)

000H--08AH MBR启动程序(寻找开机分区)

08BH--0D9H MBR启动字符串

0DAH--1BCH 保留("0 ")

1BEH--1FDH 硬盘分区表

1FEH--1FFH 结束标志(55AA)】

【DBR(DOS BOOT RECORD,DOS引导记录),

(1)DBR位于柱面0、磁头1、扇区1,其逻辑扇区号为0  

(2)DBR包含DOS引导程序和BPB(BIOS Parameter Block)。  

(3)BPB十分重要,由此可算出逻辑地址与物理地址。  

以上仅DOS(FAT16)为例,由于DOS(FAT16)已经退出历史舞台,

但现在0柱面1磁头1扇区这个位置仍然是起着类似的作用,所以准确地说,

DBR应该改称为OBR(OS Boot Record)即操作系统引导扇区,

如WINXP的OBR(FAT32或NTFS)就是在DOS的DBR基础逐步演变而来的。

OBR(DBR)是高级格式化程序产生的,如FORMAT、PM、DM、DISKPART、WINXP磁盘管理器。】

鬼影病毒是指寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法清除的病毒。

当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,

在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散。

 

1、对于用fdisk /mbr、PE、鬼影专杀等工具,修复损坏的MBR。
  只重写第一部分,第二、三部分不动。

2、关于第一部分446字节的引导代码。分操作系统的版本,不同的操作系统的引导代码不同.与硬盘厂家无关,与操作系统种类和版本有关.

3、鬼影病毒感染MBR的哪些部分?
  只感染引导记录部分,DPT是硬盘分区表,它不会破坏的,如果破坏了你的分区就全不见了.

4、第一部分boot loader 和操作系统种类和版本有关,可以用第三方软件选择再生.
  第二部分DPT,是硬盘分区表,很有必要备份
  用什么软件留备份好?用DiskGenius,硬盘分区表医生等分区软件都可以.

5、如果没有留DPT分区表备份。DPT被病毒损坏后,用diskfix、DiskGenius也可以把丢失的分区找出来。
  找回来的分区数据安全吗?安全,不会与原先的DPT数据有微小差别,也不会产生Bug.
  能够找回来的成功率很高.找不回来(或只能部分找回来)的严重后果就是丢失分区及分区里原有的所有数据.
  DiskGenius比较好,DISKFIX好象比较老了.

 

 

 

 

posted @ 2013-05-12 11:39  Geekers  阅读(1377)  评论(0编辑  收藏  举报