引导型计算病毒原理
■保留型:这类病毒在传 染磁盘引导区之前要保留原引导记录,将之转移到磁盘其它扇区,以备将来病毒初始化模块完成后仍由原引导记录完成系统正常引导。
■覆盖型:这类病毒在传染磁盘引导区时直接用自身代码覆盖原引导记录,而不保留备份,启动时由自身代码完成系统的引导。大多数病毒传染硬盘主引导区时都采用此方法,如“火炬”病毒,“Agusa”病毒等。有的病毒在传染软盘BOOT区时也采取直接覆盖法,如“Genb”病毒、“Esebug”病毒等。“Exebug”病毒由自身代码完成系统引导,而“Genb”病毒则转去由硬盘引导。
二、引导型病毒的驻留
引导型病毒被系统当作引导记录读入内存时,操作系统文件还没有被引导,为避免被覆盖,引导型病毒有以下几种驻留方法:1.驻留在内存高端;2.驻留在内存低端;3.其它驻留方法:从原理上讲,引导型病毒在启动过程中可先暂驻于任何空闲内存中,在系统引导过程某个时刻再最后定位。
三、引导型病毒的现象
从发现计算机病毒的角度来讲,引导型病毒主要有以下几类现象。
■病毒发作产生的现象:有些引导型病毒发作时有明显的现象,如软盘启动时屏幕上出现三把蓝底红火炬,则说明软盘、硬盘都感染了火炬病毒,且已有相当长的时间了。
■病毒驻留带来的现象:当使用CHKDSK或其它程序检查内存时发现内存减小,则很可能已有病毒驻留内存。
■病毒传染带来的现象:使用高密驱动器的用户有时会发现这样一个现象,即换盘后使用DIR命令列软盘目录时系统总显示同一张盘的目录。绝大多数引导型病毒都有此现象。