荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: gordonlot (要学习啦), 信区: Virus
标 题: 引导型病毒
发信站: 荔园晨风BBS站 (Mon Jan 7 14:45:20 2002), 转信
大家都知道 FDSIK/MBR ( Master Boot Record 主引导记寻)开关能重新写一个
主引导记录来覆盖硬盘原主引导记录。因此有很多初学者就以为用 FDSIK/MBR 可
以消灭一切感染引导扇区的病毒,其实这是错误的。现在我们先看一下引导型病毒
的原理。
一、引导型病毒的存贮形式
软盘的引导区在物理第一扇式,也称 BOOT 区,硬盘的引导区则分两部分,一
部分是物理第一扇的主引导区,另一部分是分区(对应逻辑盘)的引导区(
BOOT 区)。引导型病毒就是通过占据这些位置,在系统引导时获得控制权的。其
存贮可分为以下两种。
① 覆盖型(嵌入型):这类病毒在传染磁盘引导区时直接用自身代码覆盖原
引导记录,但并不触动分区表及检验标志——主引导扇区的最后两个字节“55AA”
,且不保留备份,启动时由自身代码完成系统的引导。
覆盖型病毒的判定:由硬盘主引导记录映象表(可以利用 KV3000、NU
DiskEdit 等工具查看),在1BE、1CE、1DE、1EE四处,若有一项为80,其它项为
00,即可认为是覆盖型病毒;在000、001、002处是FA 33 C0,在080、081处或
1FE、1FF处是55 AA,在082—0DE间是规则的英文信息,及在170—1BD间全是00的
,此五处中若有三处是上述内容,则认为是覆盖型病毒。
② 转移型(保留型):这类病毒在传染磁盘引导区之前保留了原引导记录,
并转移到磁盘其它扇区,以备将来病毒初始化模块完成后仍由原引导记录完成系统
正常引导。
转移型病毒的判定:若根据“覆盖型病毒的判定”中内容不能判断为覆盖型病
毒,则可认为是转移型病毒。
二、引导型病毒的驻留
为避免被覆盖,引导型病毒有以下几种驻留方法。
① 驻留在内存高端 ② 驻留在内存低端 ③其它驻留方法:从原理上讲,引
导型病毒在启动过程中可先暂驻于任何空闲内存中,在系统引导过程某个时刻再最
后定位。
三、引导型病毒的清除
① 覆盖型病毒的清除
单纯感染覆盖型引导扇区病毒在执行 FDISK/MBR 后,可以重写主引导扇区的
系统引导程序,即不论检验标志“55AA”是否完整,都以标准主引导记录无条件写
入硬盘第一物理扇区位移 0000—01BD,但并不能重置分区表。因此,用它对付覆
盖型引导扇区病毒的确是“对症下药”。
② 转移型病毒的清除
对付转移型引导病毒如果用 FDISK/MBR 命令来清除却是“助纣为虐”。因为
感染转移型病毒的硬盘第一物理扇区,通常已无分区表信息及检验标志,全为病毒
代码,在执行 FDISK/MBR 后,硬盘启动的源头被覆盖,系统改正了系统引导程序
却没有同时搬移回正确的分区表,硬盘将立即丧失启动能力。所以正确的作法是:
使用杀毒软件来清除;也可以在硬盘0磁道0磁头的第2—17扇区(系统的隐含扇区
,是引导型病毒的主要栖息地),查找扇区最后2个字节为55AA的扇区,即可认为
是原主引导记录,将偏移量01BE—01FF信息用手工方法(例如:NU DiskEdit )写
回原相应位置,最后再使用此参数予以清除。
另外还需要注意的是:有些病毒很狡猾,能够防止自已被覆盖,比如早期的
Joshi病毒就能截留中断13h,暗中阻止对主引导扇区的更新。当我们用 FDSIK/MBR
命令以后,看起来完成了,但实际上并没有成功。更有甚者,如果程序要访问含
有主引导记录的扇区,joshi会将截取这一要求将其导向磁盘其它含有原来主引导
记录备份的扇区。还有一些磁盘压缩程序也需要更改主引导记录。使用 FDISK/MBR
将去掉这些程序所作的改动而使它们失效,因为当压缩程序失败后,存在压缩盘
上的文件就无法存取了。如果已知硬盘上的其他程序更改了主引导记录就不要使用
此开关。
实际上对付引导扇区病毒并不难。最简单、有效、安全的办法就是利用杀毒软
件和磁盘工具备份主引导扇区和引导扇区至软盘。当杀毒软件不能安全清除引导扇
区病毒时,可以用备份的主引导扇区恢复,硬盘即可正常启动。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.221]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店