荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Mic (霸王丸), 信区: Virus
标 题: 谁能"查杀所有的引导型病毒"?
发信站: 荔园晨风BBS站 (Mon Apr 9 14:49:36 2001), 转信
对DOS系统稍有了解的人都知道,用硬盘启动DOS系统时,是由硬盘的主引导扇开
始执行引导程序,它有如下引导过程:
主引导扇=>分区引导扇=>IO.SYS=>MSDOS.SYS=>COMMAND.COM
在引导扇中藏匿病毒,使病毒的传播驻留和发作从被动变成了主动。我们只要
通过硬盘或带毒软盘启动系统,就已让病毒驻留在内存中。"优秀"的引导型病毒
可以接管整个操作系统而不为人察觉,甚至可以利用内存中的一些空闲区块来完成
驻留,其"精细"程度令人瞠目。反病毒专家们一致认为,编写和查杀引导型病毒
,尤其是对既感染引导区、又感染文件的复合型病毒(也称双料病毒),技术难度
都远高于文件型病毒。
既如此,怎么又会沸沸扬扬地闹出"万能解毒剂",查除所有已知、未知引导
型病毒呢?
原来,DOS系统为了提高各版本之间的兼容性,在引导区程序的编制上,重点
考虑了版本的向上和向下兼容问题。经分析认为,我们完全可以用一个通用的引导
程序来取代主引导和分区引导程序,而仅需保留BIOS参数块各分区表等类似的数据
结构。一般而言,病毒并不改动这些数据结构,这样,我们仅需用一段通用程序覆
盖病毒体,即可杀除病毒。
但如果病毒改动了这些数据结构呢?对付引导型病毒的症结也正是越来越明显
地集中在对各数据结构的恢复上。
专家分析多段引导型病毒程序后,认为当前的主引导型病毒要实现以下几种反
反病毒技巧并非难事。
一、重新保存主引导分区的分区表
主引导程序的访问是在"MSDOS Starting …"之前进行的,它的访问及
解释程序内置于ROM和主引导中。病毒可以将分区表置空或置非法数据,在病毒体
中根据所保存的正确分区表对硬盘进行分区构画。
二、在分区引导程序中动态恢复BIOS参数块
病毒可以在BIOS参数块中置入错误数据,在病毒进入系统的同时,即时恢复该数据
区。
三、强行改写BIOS中断INT 13H
BIOS中断INT 13H是用于磁盘访问的中断例程,绝大多数程序都是间接或直接通
过INT 13H进行磁盘访问。如果病毒强行占用INT 13H号中断,将有关主引导的
读写部分完全控制住,就有可能使病毒"安全地"驻留在主引导区上。系统带毒运
行时,病毒体主动对用户的主引导读写申请作出回应,这样用户所见到的将永远是
"正常的"引导扇区。
同样的方法,病毒可以限制到用户对带毒文件的访问。
从如上的分析我们可以看出,上述三种技巧可以导致引导扇及引导程序异常。
第一、二种方法甚至使引导扇区的数据异常。如果我们轻易覆盖引导区,则要么因
为病毒体驻留,造成重复感染,"万能解毒剂"无济于事;要么因为病毒体未驻留
,造成数据丢失或其它引导扇区异常,破坏系统。"万能解毒剂"成为"万能引爆
索"。
这并非无事实依据的推测。如果有那一位用户或专家试图"万能解毒剂——引
导区覆盖法"对付One Half病毒的话,则专家忠告:这将破坏您整个硬盘的数据
!这与DIR II病毒的机理是有一致这处的。
随便提到的是,曾有人提出了可执行文件.EXE的万能解毒方案。即直接查找
EXE文件头IP值,若与病毒文件的IP值相同,就表示该文件中毒。但这种方案是不
可行的。尽管我们在杀除病毒时一定要恢复EXE文件的CS、IP甚至SS、SP的值,并
且也偶而会利用IP指针值作为一些病毒的辅助识别标志。但由于某些病毒文件头的
IP值不固定(如"1554"、"1451")病毒,许多文件的IP与病毒IP又可能巧合,因
而我们仍然无法依赖该方案来实现查、杀病毒。
要"查杀所有引导型病毒",甚至"查杀所有的病毒",并不是没有办法。只不过
需要您格式化您所有的软、硬盘而已。——专家提供的"必杀秘技",若非万不得已
,切勿施用,否则,后果自负。
--
﹀ ▲ ▲ \ /
﹀ ▲▲▲ ▲▲ ? ▲▲▲― ● ―
﹀ ▲ ▲▎▲ / \ ▃
▁▅ ▁▃▇█▅▃▁ ▲▲┻▍▲ ▃▇█
▁▃▅▇███▅▁ ∞: ∞: ▍ ▁▃▅████
∞: ∞: ├┼┼┬ γ▍γγ┤ m i c ◤
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.28.108]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店