引导型病毒的原理与FDISK/MBR的正确使用

 

       大家都知道 FDSIK/MBR ( Master Boot Record 主引导记寻)开关能重新写一个主引导记录来覆盖硬盘原主引导记录。

因此有很多初学者就以为用 FDSIK/MBR 可以消灭一切感染引导扇区的病毒,其实这是错误的。现在我们先看一下引导型病

毒的原理。

一、引导型病毒的存贮形式

软盘的引导区在物理第一扇式,也称 BOOT 区,硬盘的引导区则分两部分,一部分是物理第一扇的主引导区,另一部分是

分区(对应逻辑盘)的引导区( BOOT 区)。引导型病毒就是通过占据这些位置,在系统引导时获得控制权的。其存贮可

分为以下两种。

① 覆盖型(嵌入型):这类病毒在传染磁盘引导区时直接用自身代码覆盖原引导记录,但并不触动分区表及检验标志——

主引导扇区的最后两个字节“55AA”,且不保留备份,启动时由自身代码完成系统的引导。

覆盖型病毒的判定:由硬盘主引导记录映象表(可以利用 KV3000、NU DiskEdit 等工具查看),在1BE、1CE、1DE、1EE四处

,若有一项为80,其它项为00,即可认为是覆盖型病毒;在000、001、002处是FA 33 C0,在080、081处或1FE、1FF处是55 AA,

在082—0DE间是规则的英文信息,及在170—1BD间全是00的,此五处中若有三处是上述内容,则认为是覆盖型病毒。

② 转移型(保留型):这类病毒在传染磁盘引导区之前保留了原引导记录,并转移到磁盘其它扇区,以备将来病毒初始化模块完

成后仍由原引导记录完成系统正常引导。

转移型病毒的判定:若根据“覆盖型病毒的判定”中内容不能判断为覆盖型病毒,则可认为是转移型病毒。

二、引导型病毒的驻留

为避免被覆盖,引导型病毒有以下几种驻留方法。

① 驻留在内存高端 ② 驻留在内存低端 ③其它驻留方法:从原理上讲,引导型病毒在启动过程中可先暂驻于任何空闲内存中,

在系统引导过程某个时刻再最后定位。

三、引导型病毒的清除

① 覆盖型病毒的清除

单纯感染覆盖型引导扇区病毒在执行 FDISK/MBR 后,可以重写主引导扇区的系统引导程序,即不论检验标志“55AA”是否完整,

都以标准主引导记录无条件写入硬盘第一物理扇区位移 0000—01BD,但并不能重置分区表。因此,用它对付覆盖型引导扇区病

毒的确是“对症下药”。


② 转移型病毒的清除

对付转移型引导病毒如果用 FDISK/MBR 命令来清除却是“助纣为虐”。因为感染转移型病毒的硬盘第一物理扇区,通常已无分

区表信息及检验标志,全为病毒代码,在执行 FDISK/MBR 后,硬盘启动的源头被覆盖,系统改正了系统引导程序却没有同时搬

移回正确的分区表,硬盘将立即丧失启动能力。所以正确的作法是:使用杀毒软件来清除;也可以在硬盘0磁道0磁头的第2—17扇

区(系统的隐含扇区,是引导型病毒的主要栖息地),查找扇区最后2个字节为55AA的扇区,即可认为是原主引导记录,将偏移

量01BE—01FF信息用手工方法(例如:NU DiskEdit )写回原相应位置,最后再使用此参数予以清除。

另外还需要注意的是:有些病毒很狡猾,能够防止自已被覆盖,比如早期的Joshi病毒就能截留中断13h,暗中阻止对主引导扇区

的更新。当我们用 FDSIK/MBR 命令以后,看起来完成了,但实际上并没有成功。更有甚者,如果程序要访问含有主引导记录的

扇区,joshi会将截取这一要求将其导向磁盘其它含有原来主引导记录备份的扇区。还有一些磁盘压缩程序也需要更改主引导记录

。使用 FDISK/MBR 将去掉这些程序所作的改动而使它们失效,因为当压缩程序失败后,存在压缩盘上的文件就无法存取了。

如果已知硬盘上的其他程序更改了主引导记录就不要使用此开关。

实际上对付引导扇区病毒并不难。最简单、有效、安全的办法就是利用杀毒软件和磁盘工具备份主引导扇区和引导扇区至软盘。

当杀毒软件不能安全清除引导扇区病毒时,可以用备份的主引导扇区恢复,硬盘即可正常启动。(转载)

你可能感兴趣的:(引导型病毒的原理与FDISK/MBR的正确使用)