首页 理论教育 引导型病毒工作原理-计算机网络安全管理

引导型病毒工作原理-计算机网络安全管理

时间:2023-10-21 理论教育 版权反馈
【摘要】:引导型病毒感染的是硬盘的主引导区或软盘的引导扇区,它是BIOS调入内存的第一个程序。也就是说,计算机病毒已经常驻内存,一旦满足条件,病毒就会发作。大麻病毒就是一种典型的引导型病毒。下面分别从病毒的加载过程、传染过程和破坏过程来讲一下病毒的工作原理。传播之后,病毒程序再执行正常的磁盘操作。

引导型病毒工作原理-计算机网络安全管理

引导型病毒感染的是硬盘的主引导区或软盘的引导扇区,它是BIOS调入内存的第一个程序。也就是说,计算机病毒已经常驻内存,一旦满足条件,病毒就会发作。软盘引导区被感染的传染机制同硬盘被感染的机制相似,但是病毒感染软盘引导扇区的隐蔽性比较差,它没有隐含的扇区,所以病毒要么把正常的引导扇区内容放到软盘的最后一个扇区,要么放到根目录中,当用户发现软盘目录显示出乱七八糟的文件名时,就会引起用户的警觉。有的病毒根本就不保存正常的引导程序,这样用这种软盘启动时就不能正常引导系统,这时用户也会很快发现软盘可能已经感染了病毒。

大麻病毒就是一种典型的引导型病毒。它感染硬盘的主引导扇区(硬盘的0柱而0头1扇区),或者感染软盘的引导扇区(软盘的0磁道0头1扇区)。大麻病毒的程序有512个字节,病毒将自身驻留到计算机的内存高端,使内存总量比实际大小少2KB。发作时,在屏幕上显示“Your PC is now stoned!”信息。下面分别从病毒的加载过程、传染过程和破坏过程来讲一下病毒的工作原理。

1.加载过程

由于大麻病毒将自身存放在硬盘的主引导扇区或软盘的引导扇区,所以当系统启动时,程序便把病毒体当作系统的引导程序装入内存,并将系统控制权交给病毒程序。这样,大麻病毒就轻易地获得了控制权,然后病毒就会修改INT 13H的程序入口地址,INT 13H是一个磁盘中断,将其指向病毒程序本身,同时把正确的INT 13H的程序入口地址保留好。然后减少DOS可用的内存空间,使病毒程序常驻内存。最后把正确的主引导区原来的内容调入内存,开始正常的计算机启动程序。

以后如果其他的应用程序借助这个中断程序进行有关的键盘操作,首先就被病毒盗取控制权,执行病毒程序,再由病毒程序将控制权交给原有的中断服务程序来完成正在执行的磁盘操作,并且在病毒获得控制权后,它可以进行传播和破坏等操作。

2.传染过程(www.xing528.com)

当其他程序通过INT 13H中断服务程序执行磁盘操作时,由于这时该中断向量已经指向了病毒程序,因此病毒程序自动获得控制权,首先运行它。

病毒程序会先判断一下是否是读盘操作,如果是,则把当前磁盘的0号相对扇区读入内存,并判断它是否感染过这个病毒,如果已经感染过了,则执行正常的读盘操作,没有必要进行重复感染;如果没有被感染过,则把正常的0扇区内容放到病毒指定的位置,再将病毒程序写入该磁盘的0号扇区,这样病毒就将自身复制了一份放在原来未感染的磁盘上,完成其传播。传播之后,病毒程序再执行正常的磁盘操作。

3.破坏过程

病毒要把原引导区写到硬盘文件分配表的第7扇区。既然是文件分配表的第7扇区,那么DOS就会认为这个扇区中表项为0的对应磁盘上的簇是自由空间,于是就会把数据存放进去。经过一段时间,这个主引导扇区中所有的为0字节都被填充了其他内容,以至于硬盘主引导程序被破坏,将来病毒调用它来启动计算机时就无法启动。

如果病毒把原主引导扇区写到了第7扇区,原主引导扇区文件分配表所对应的磁盘数据区已经分配完毕,那么这部分的文件分配表项就出错,这将导致一些文件的丢失。对于软盘而言,如果写进去的根目录扇区已经有目录表项占用,那么这几个文件的数据表项就丢失了;如果该位置还没有目录表项占用,那么就损失了16个文件目录表项(一个扇区512个字节,一个目录表项为32个字节,所以为512/32=16)。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈