|
一、什么是引导型病毒? 引导型病毒是一种在ROM BIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。 二、引导型病毒的分类 引导型病毒按其寄生对象的不同又可分为两类,即MBR(主引导区)病毒、BR(引导区)病毒。MBR病毒也称为分区病毒,将病毒寄生在硬盘分区主引导程序所占据的 硬盘0头0柱面第1个扇区中。典型的病毒有大麻(Stoned)、2708、INT60病毒等。BR 病毒是将病毒寄生在硬盘逻辑0扇或软盘逻辑0扇(即0面0道第1个扇区)。典型的病 毒有Brain、小球病毒等。 三、引导型病毒的主要特点 1、引导型病毒是在安装操作系统之前进入内存,寄生对象又相对固定,因此该类型病毒基本上不得不采用减少操作系统所掌管的内存容量方法来驻留内存高端。而正常的系统引导过程一般是不减少系统内存的。 2、引导型病毒需要把病毒传染给软盘,一般是通过修改INT 13H的中断向量,而新INT 13H中断向量段址必定指向内存高端的病毒程序。 3、引导型病毒感染硬盘时,必定驻留硬盘的主引导扇区或引导扇区,并且只驻留一次,因此引导型病毒一般都是在软盘启动过程中把病毒传染给硬盘的。而正常的引导过程一般是不对硬盘主引导区或引导区进行写盘操作的。 4、引导型病毒的寄生对象相对固定,把当前的系统主引导扇区和引导扇区与干净的主引导扇区和引导扇区进行比较,如果内容不一致,可认定系统引导区异常。 四、引导型病毒的清除 以KV3000为例,只要硬盘本身染上引导区病毒,那么用硬盘本身启动必然是系统本身就带毒,因此调用KVw3000杀毒时不能完全清除,关键就是系统本身带病。可以使用干净的软盘启动电脑进入系统DOS。清除引导区病毒KV3000有一个命令KV3000/K。在执行KV3000/K时可用KV3000/B备份一个硬盘主引导信息,若不KV3000/B那么执行KV3000/K时也会让你备份一主引导信息即HDPT.VIR的文件。同样软盘上的引导区病毒也用KV3000/K。 |
|