引导型病毒

Posted on 2019-11-07 19:53  Volcano3511  阅读(1868)  评论(0编辑  收藏  举报

TOC

定义

引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导型系统的过程中侵入系统,驻留内存,监视系统运行,待机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。主引导记录病毒感染硬盘的主引导区,如大麻病毒、2708病毒、火炬病毒等;分区引导记录病毒感染硬盘的活动分区引导记录,如小球病毒、Girl病毒等。

引导扇区是硬盘或软盘的第一个扇区,对于操作系统的装载起着十分重要的作用。软盘只有一个引导区,被称为DOS BOOT SECTER,只要软盘已格式化就已存在。其作用为查找盘上有无IO.SYS和DOS.SYS命令,若存在则可以引导,若不存在则显示“NO SYSTEM DISK...”等信息。硬盘有两个引导区,即O面O道1扇区称为主引导区,该分区的第一个扇区即为DOS BOOT SECTER。绝大多数病毒感染硬盘主引导扇区和软盘DOS引导扇区。一般来说,引导扇区先于其他程序获得对CPU的控制,通过把自己放入引导扇区,病毒就可以立刻控制整个系统。
病毒代码代替了原始的引导扇区信息,并把原始的引导扇区信息移到磁盘的其他扇区。当DOS需要访问引导数据信息时,病毒会引导DOS到贮存引导信息的新扇区,从而使DOS无法发觉信息被挪到了新的地方。
另外,病毒的一部分仍驻留在内存中,当新的磁盘插入时,病毒就会把自己写到新的磁盘上。当这个盘被用于另一台机器时,病毒就会以同样的方法传播到那台机器的引导扇区上。

驻留内存:一般采取修改0:415地址的方法,因为引导时,DOS并不加载,主是唯一的方法,但有很大的缺点,在启动后用MEM命令查看会发现常规内存的总量少于640K,这就表明有病毒存在,当然有办法解决,可以修改INT8,检测INT21是否建立,若建立则可采用DOS功能驻留内存。

引导型病毒是一种在ROM BIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序.引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依据.而不是以操作系统引导的内容为依据.因而病毒占据该物理位置可获得控制权,而将真正的引导区内容转移或替换,待病毒程序执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染,发作.
引导型病毒按其寄对象的不同又可分为两类,即MBR(主引导区)病毒,BR(引导)病毒:MBR病毒也称为分区病毒,将病毒寄生在硬盘分区中主引导程序所占据的硬盘0头0柱面第1个扇区中.典型的病毒有大麻(Stoned),2708,INT60病毒等;BR病毒是将病毒寄生在硬盘逻辑0扇(即0面0道第1个扇区)>典型的病毒有Brain,小球病毒等.

特点

⑴引导型病毒是在安装操作系统之前进入内存,寄生对象又相对固定,因此该类型病毒基本上不得不采用减少操作系统所掌管的内存容量方法来驻留内存高端.而正常的系统引导过程一般是不减少系统内存的.
⑵引导型病毒需要把病毒传染给软盘,一般是通过修改INT 13H的中断向量,而新INT 13H中断向量段址必定指向内存高端的病毒程序.
⑶引导型病毒感染硬盘时,必定驻留硬盘的主引导扇区或引导扇区,并且只驻留一次,因此引导型病毒一般都是在软盘启动过程中把病毒传染给硬盘的.而正常的引导过程一般是不对硬盘主引导区或引导区进行写盘操作的.
⑷引导型病毒的寄生对象相对固定,把当前的系统主引导扇区和引导扇区与干净的主引导扇区和引导扇区进行比较,如果内容不一致,可认定系统引导区异常.

技术

隐形技术:

当病毒驻留时,读写引导区均对原引导区操作,就好像没有病毒一样。

加密技术:

一般加密分区表,使无毒盘启动,无法读取硬盘。

优缺点

优点

  • 隐蔽性强,兼容性强
  • 一个好的病毒程序是不容易被发现的,通用于DOS和Windows 95操作系统。
  • 引导区型病毒往往具有较强的破坏性。

缺点

  • 传染速度慢,一定要带毒软盘启动才能传到硬盘
  • 杀毒容易,只需改写引导区即可,如:fdisk/mbr,kv200/k。KV200能查出所有引导型病毒,底板能对引导区写保护,所以现在纯引导型病毒已很少了。