文档介绍:第十六讲: 计算机病毒及防止
世界上到底有多少种计算机病毒,恐怕谁也不知道。下面介绍几类主要的病毒。
A: 引导扇区病毒
引导扇区是硬盘或软盘的第一个扇区。此扇区对于操作系统的装载起着十分重要的作用。
软盘只有一个引导区。一旦软盘被格式化,引导区就已存在。。若有此命令,则可以引导;若无此命令,则显示“NO SYSTEM DISK…”等信息。
硬盘有两个引导区。其中0面0道1扇区称为主引导区,其内有主引导程序和分区表。主引导程序查找激活分区,该分区的第一个扇区即为DOS BOOT SECTER。
绝大多数病毒感染硬盘主引导扇区和软盘DOS引导扇区。一般来说,引导扇区先于其他程序获得对CPU的控制,通过把自己放入引导扇区,病毒就可以立刻控制整个系统。病毒代码代替了原始的引导扇区信息,并把原始的引导扇区信息移到磁盘的其它扇区。当DOS需要访问引导数据信息时,病毒会引导DOS到贮存引导信息的新扇区,从而使DOS无法发觉信息被挪到了新的地方。
另外,病毒的一部分仍驻留在内存中。当新的磁盘插入时,病毒就会把自己写到新的磁盘上。当这个盘被用于另一台机器时,病毒就会以同样的方法传染到那台计算机引导扇区上。
引导型病毒具有以下特点:隐蔽性强(一个高水平引导型病毒程序很难被发现)、兼容性强(几乎可以通用于DOS、WINDOWS和WIN95 等操作系统)、传染速度相对较慢(只有当带毒软盘启动时,才能传染到硬盘)、杀毒容易(只需改写引导区即可,如: fdisk/mbr ,kv200/k)。
许多杀毒软件(比如:KV200、KV300等)都能查出所有引导型病毒。现在纯引导型病毒已很少了。
比较著名的引导型病毒有:
Pakistani Brain(巴基斯坦大脑)。这是一种最为流行的引导扇区病毒,它首先把原始的引导信息移动到磁盘的其它部分,然后将自己拷贝到引导扇区和磁盘其他的空闲部分。这种病毒可以破坏硬盘分区和文件定位数,使用户无法访问文件。此种病毒知道如何保护自己,它有许多办法逃避检测。
Stoned(石头)。这是另一种广泛传播的引导扇区病毒,它会破坏目录和文件分配表。
ExeBug。它是一种引导型、分体式 Stealth 型病毒。病毒自身存放于硬盘 MBR 和软盘 boot 扇区。此病毒在 EXE 文件头只存放一个引导部分。运行被感染的文件将会删除硬盘的某些扇区。这种病毒依靠引导来传播、依靠被感染的文件来实施破坏。这是一种恶性病毒。
Monkey。这仍然是一种引导型病毒。一旦硬盘被它感染,硬盘的分区表将会被移到第0轨第2磁区的位置并加以编码,而原放置分区表的磁区就被病毒的程式头占据。所以,如果用一个没毒的软盘开机,就会发现硬盘不见了。如果改用硬盘开机,则硬盘又重新出现了。
B: 文件型病毒
文件型病毒的宿主不是引导区而是一些可执行程序。病毒把自己附加在可执行文件中,并等待程序运行。病毒会驻留在内存中,企图感染其它文件,并破坏系统。当病毒已经完成了工作后,其宿主程序才被运行,使系统看起来一切正常。
和引导扇区病毒不同,文件型病毒把自己附着或追加在*.EXE和*.COM这样的可执行文件上。根据附着类型不同,可将文件型病毒分为三类:覆盖型、前/后附加型和伴随型。
覆盖型病毒。它简单