引导型病毒的机理和解析

合集下载

计算机病毒的定义及分类.doc

计算机病毒的定义及分类～教育资源库计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。

计算机病毒可根据感染形态进行分类，大致可分为以下几种：①引导型病毒：引导型病毒是病毒把自身的程序代码存放在软盘或硬盘的引导扇区中。

由于现代计算机的启动机制，使得病毒可以在每次开机，操作系统还没有引导之前就被加载到内存中，这个特性使得病毒可以对计算机进行完全的控制，并拥有更大的能力进行传染和破坏。

绝大多数引导型病毒有极强的传染性和破坏性，通常会格式化硬盘、修改文件分配表（FA T表）等，一旦发作，计算机的数据通常会全部丢失。

这种类型病毒的清除也很简单，不管是什么名字的病毒，只要是引导型的，用干净的软盘（即不含病毒的启动软盘，注意：一定要关闭软盘的写保护，不允许对软盘进行写入操作）启动系统，然后重写硬盘的引导扇区即可清除。

由于该类病毒的清除和发现很容易，所以这类病毒都属于很老的了，现在基本上已经灭绝。

②文件型病毒：文件型病毒通常把病毒程序代码自身放在系统的其它可执行文件（如：*.、*.EXE、*.DLL等）中。

当这些文件被执行时，病毒的程序就跟着被执行。

文件型病毒依传染方式的不同，又分为非常驻型以及常驻内存型两种。

非常驻型病毒是将病毒程序自身放置于*.、*.EXE或是*.SYS的文件中，当这些中毒的程序被执行时，就会尝试把病毒程序传染给另一个或多个文件。

该类病毒只在感染病毒的程序被调用执行时，传染给其它程序，病毒本身并不常驻内存；常驻内存型病毒躲在内存中，一旦常驻内存型病毒进入了内存，只要有可执行文件被执行，就可以对其进行感染。

由于病毒一直常驻内存，所以此时用杀毒软件进行杀毒，存在带毒杀毒的问题，通常不易杀干净。

一般需要用干净的系统引导盘启动系统后，再进行杀毒才彻底。

③复合型病毒：复合型病毒具备引导型病毒和文件型病毒的特性，可以传染*.、*.EXE、*.DLL文件，也可以感染磁盘的引导扇区。

引导型病毒清除方法

1、主要特征：桌面上出现几个删除不了的图标，其通过右键无法删除，使用工具删除清理后重复出现。

2、隐含特征：这是一个引导型病毒，病毒会在感染初期就修改PC系统的硬盘主引导模块[主MBR]，这样它就先于Windows系统启动而进入内存，病毒有一部分存在于硬盘的空闲扇区中，当引导程序激活它以后，用户即使重新安装系统也会在第一次启动时就被重复感染。

3、感染机系统在空闲时进程中多出一些未知的程序，并且伪装成与系统类似的名称比如wupmgr.exe，svchost.exe[不好分别]。

4、感染机系统各分区根目录下，全部的目录及程序可能都被隐藏并出现伪装的替代同名程序，辨别方法是资源管理器显示详细信息，其目录图标伪装的程序，分类不是文件夹。

清除建议：
1、应首先重置硬盘的主引导记录MBR，使用光盘，U盘或移动硬盘启动，利用其所带磁盘工具，将主机的硬盘MBR还原为标准MBR。

还原完不要启机进入系统防止重复感染。

2、立刻重装系统，或者重G系统，如果有还原备份的话，可以通过光盘、U盘、移动硬盘运行Ghost主程序来还原主机系统。

3、建议在WinPE工具环境下，整理主机各分区根目录，辨别删除病毒体伪装的文件，特征是其文件的生成时间都是同一时刻[也就是此机被感染时间]，大小相同，图标为文件夹类似黄SE，名称为原目录名同名。

4、正确重新做好系统后，进入桌面不要查看我的电脑，或者资源管理器中的任何文件[病毒体可能在其它分区中易被激活]，请在第一时间配置好上网程序，下载安装杀毒软件，并且打全所有系统漏洞补丁。

然后让杀毒软件查杀各分区，确保病毒被清除。

《计算机病毒》实验一：引导型病毒实验

四、硬盘感染软盘
1．下载empty.img，并且将它插入虚拟机，启动电脑，由于该盘为空，将出现空白界面。
2．取出虚拟软盘，从硬盘启动，通过命令format A: /q快速格式化软盘。（由于版本原因，会出现NOT READY，硬盘格式化失败。）
结果和总结：
1.首先通过带病毒的软盘，将病毒从软盘加载到内存。这时，病毒寻找DOS引导区的位置，并将其移动到别的位置，病毒自己写入原DOS引导区。
2.病毒占据物理位置并获得控制权（在启动时获得），待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。
3.实验中，我们取出了软盘，并通过硬盘引导进入了病毒的界面，按任意键后正常引导了DOS系统，可见硬盘已被感染。
4.从一个空的软盘引导进入，显示为空没有感染，取出软盘后。从硬盘进入并格式化硬盘，再次从软盘进入，看到了感染现象，说明病毒已经由硬盘感染到了软盘。（可能是的病毒隐藏在引导区中，通过启动实现了感染）
实验内容：
（1）引导阶段病毒由软盘感染硬盘实验。通过触发病毒，观察病毒发作的现象和步骤学习
病毒的感染机制；阅读和分析病毒的代码。
（2）DOS运行时病毒由硬盘感染软盘的实现。通过触发病毒，观察病毒发作的现象和步骤
学习病毒的感染机制；阅读和分析病毒的代码。
实验过程：
一、环境安装
1.安装虚拟机VMWare，在虚拟机中使用winbaicai快速格式化虚拟硬盘。
实验报告
题目：引导型病毒实验
姓名：王宇航
学号：09283020
实验环境：VMWare Workstation5.5.3MS-DOS 7.10
操作系统：windows系统XP（√）2003（）其他：

计算机病毒的种类及原理

计算机病毒的种类及原理从计算机病毒的基本类型来分，计算机病毒可以分为系统引导型病毒、可执行文件型病毒、宏病毒、混合型病毒、特洛伊木马型病毒和Internet语言病毒等等。

●系统引导型病毒系统引导型病毒在系统启动时，先于正常系统的引导将病毒程序自身装入到操作系统中，在完成病毒自身程序的安装后，该病毒程序成为系统的一个驻留内存的程序，然后再将系统的控制权转给真正的系统引导程序，完成系统的安装。

表面上看起来计算机系统能够启动并正常运行，但此时，由于有计算机病毒程序驻留在内存，计算机系统已在病毒程序的控制之下了。

系统引导型病毒主要是感染软盘的引导扇区和硬盘的主引导扇区或DOS引导扇区，其传染方式主要是通过用被病毒感染的软盘启动计算机而传染的。

只要用这些有系统引导型病毒的软件启动计算机，不管有没有引导成功，系统引导型病毒都将自动装入内存。

而在这些由系统引导型病毒控制的系统下，将感染所有进行读、写操作的软盘和硬盘的引导扇区或主引导扇区，一旦硬盘感染了系统引导型病毒，那将感染所有在该系统中使用的软盘。

这样，通过软盘作为传染的媒介，病毒就会广泛传播。

●可执行文件型病毒可执行文件型病毒依附在可执行文件或覆盖文件中，当病毒程序感染一个可执行文件时，病毒修改原文件的一些参数，并将病毒自身程序添加到原文件中。

在被感染病毒的文件被执行时，由于病毒修改了原文件的一些参数，所以首先执行病毒程序的一段代码，这段病毒程序的代码主要功能是将病毒程序驻留在内存，以取得系统的控制权，从而可以完成病毒的复制和一些破坏操作，然后再执行原文件的程序代码，实现原来的程序功能，以迷惑用户。

可执行文件型病毒主要感染系统可执行文件（如DOS或WINDOWS系统的COM或EXE文件）或覆盖文件（如OVL文件）中，极少感染数据文件。

其传染方式是当感染了病毒的可执行文件被执行或者当系统有任何读、写操作时，向外进行传播病毒。

此时，病毒程序首先将要被感染的文件读入内存，判断其特定位置上是否有该病毒程序的标记，如果已经感染了就不再重复感染，如果没有感染，则将病毒程序写到该文件中。

电脑病毒种类有哪些（2）

电脑病毒种类有哪些（2）电脑病毒种类有哪些对于以上三种病毒的分类，实际上可以归纳为两大类：一类是引导区型传染的计算机病毒;另一类是可执行文件型传染的计算机病毒。

6.按照计算机病毒激活的时间分类按照计算机病毒激活时间可分为定时的和随机的。

定时病毒仅在某一特定时间才发作，而随机病毒一般不是由时钟来激活的。

7.按照传播媒介分类按照计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。

(1)单机病毒单机病毒的载体是磁盘，常见的是病毒从软盘传入硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。

(2)网络病毒网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。

8.按照寄生方式和传染途径分类人们习惯将计算机病毒按寄生方式和传染途径来分类。

计算机病毒按其寄生方式大致可分为两类，一是引导型病毒，二是文件型病毒;它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。

混合型病毒集引导型和文件型病毒特性于一体。

引导型病毒会去改写(即一般所说的“感染”)磁盘上的引导扇区(BOOT SECTOR)的内容，软盘或硬盘都有可能感染病毒。

再不然就是改写硬盘上的分区表(FAT)。

如果用已感染病毒的软盘来启动的话，则会感染硬盘。

引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。

引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理地址为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序被执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中伺机传染、发作。

有的病毒会潜伏一段时间，等到它所设置的日期时才发作。

有的则会在发作时在屏幕上显示一些带有“宣示”或“警告”意味的信息。

病毒处理办法.

木马查杀方法
根据木马的启动运行原理，可先利用msconfig关闭启动项中的可疑程序，重启后上网升级病毒软件或下载补丁程序和专杀工具。
木马手工查杀方法
1、利用任务管理器查找可疑进程，尝试结束 2、“系统配置实用程序（msconfig）”中的 “启动”项和“服务”项中找可疑启动项删除，或在“注册表编辑器”中的 HKEY_CURRENT_USER\Software\Microsof t\Windows\CurrentVersion\Run项和 HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion\Run项中找可疑启动项删除。
文件型病毒查杀方法
利用干净的（确保无毒）软盘或光盘引导机器，利用dos版的杀毒软件进行查杀。杀毒后可能会导致某些程序无法运行甚至无法进入系统，建议杀毒前重要数据先备份，出现这类情况可覆盖安装（9x、me或应用程序）或修复安装（2k或xp）尝试修复，系统文件可用sfc修复。如果无效建议格式化重装。
病毒处理办法
引导型病毒现象与危害
1、隐藏于硬盘或软盘的引导区中，当计算机从感染了此类病毒的磁盘引导时，病毒驻留到内存中，之后向其他所有可写磁盘复制传播 2、发作时可导致系统不引导，分区表被破坏等现象。"
引导型病毒查杀方法
利用干净的（确保无毒）软盘或光盘引导机器，利用dos版的杀毒软件进行查杀。杀毒后有可能导致硬盘不引导甚至分区丢失等现象，因此建议杀毒前，备份重要数据
文件型病毒手动查杀
1、如确认为染毒文件且文件无用最好在dos下直接删除 2、如无把握建议最好用杀毒软件查杀"
蠕虫病毒现象与危害
1、通过网络复制，通过邮件系统自动发送自己的复制品。 2、传播速度极快，会造成网络拥挤瘫痪 3、主机运行速度变慢或某些系统功能异常，死机重启等异常。

引导型病毒的原理与FDISKMBR的正确使用

② 转移型（保留型）：这类病毒在传染磁盘引导区之前保留了原引导记录，并转移到磁盘其它扇区，以备将来病毒初始化模块完成后仍由原引导记录完成系统正常引导。
转移型病毒的判定：若根据“覆盖型病毒的判定”中内容不能判断为覆盖型病毒，则可认为是转移型病毒。
二、引导型病毒的驻留
为避免被覆盖，引导型病毒有以下几种驻留方法。
另外还需要注意的是：有些病毒很狡猾，能够防止自已被覆盖，比如早期的Joshi病毒就能截留中断13h，暗中阻止对主引导扇区的更新。当我们用 FDSIK/MBR 命令以后，看起来完成了，但实际上并没有成功。更有甚者，如果程序要访问含有主引导记录的扇区，joshi会将截取这一要求将其导向磁盘其它含有原来主引导记录备份的扇区。还有一些磁盘压缩程序也需要更改主引导记录。使用 FDISK/MBR 将去掉这些程序所作的改动而使它们失效，因为当压缩程序失败后，存在压缩盘上的文件就无法存取了。如果已知硬盘上的其他程序更改了主引导记录就不要使用此开关。
② 转移型病毒的清除
对付转移型引导病毒如果用 FDISK/MBR 命令来清除却是“助纣为虐”。因为感染转移型病毒的硬盘第一物理扇区，通常已无分区表信息及检验标志，全为病毒代码，在执行 FDISK/MBR 后，硬盘启动的源头被覆盖，系统改正了系统引导程序却没有同时搬移回正确的分区表，硬盘将立即丧失启动能力。所以正确的作法是：使用杀毒软件来清除；也可以在硬盘0磁道0磁头的第2—17扇区（系统的隐含扇区，是引导型病毒的主要栖息地），查找扇区最后2个字节为55AA的扇区，即可认为是原主引导记录，将偏移量01BE—01FF信息用手工方法（例如：NU DiskEdit ）写回原相应位置，最后再使用此参数予以清除。
一、引导型病毒的存贮形式
软盘的引导区在物理第一扇式，也称 BOOT 区，硬盘的引导区则分两部分，一部分是物理第一扇的主引导区，另一部分是分区（对应逻辑盘）的引导区（ BOOT 区）。引导型病毒就是通过占据这些位置，在系统引导时获得控制权的。其存贮可分为以下两种。

计算机病毒结构分析(1)ppt课件

第三章计算机病毒结构分析本章学习目标•掌握计算机病毒的结构•掌握计算机病毒的工作机制•了解引导型病毒原理•了解COM、EXE、NE、PE可执行文件格式•掌握COM文件病毒原理及实验•掌握PE文件型病毒及实验总体概念•DOS是VXer的乐园(Aver) •9x病毒ring3, ring0•2K病毒主要是ring3•Windows文件格式变迁：•COM•EXE:MZ->NE->PE•Vxd: LE(16Bit, 32Bit)一、计算机病毒的结构和工作机制•四大模块：•感染模块•触发模块•破坏模块（表现模块）•引导模块（主控模块）•两个状态：•静态•动态工作机制引导模块•引导前——寄生•寄生位置：•引导区•可执行文件•寄生手段：•替代法（寄生在引导区中的病毒常用该法）•链接法（寄生在文件中的病毒常用该法）１PE文件结构及其运行原理（1）PE文件格式总体结构•PE（Portable Executable：可移植的执行体）•是Win32环境自身所带的可执行文件格式。

•它的一些特性继承自Unix的Coff(Common Object )文件格式。

•可移植的执行体意味着此文件格式是跨win32平台的，即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式。

•当然，移植到不同的CPU上PE执行体必然得有一些改变。

•除VxD和16位的Dll外，所有win32执行文件都使用PE文件格式。

因此，研究PE文件格式是我们洞悉Windows结构的良机。

PE文件结构总体层次分布DOSMZheader ‘MZ’格式DOSstub Dos程序PEheader PE文件Section表•所有PE文件必须以一个简单的DOS MZ header开始。

有了它，一旦程序在DOS下执行，DOS就能识别出这是有效的执行体。

•DOS stub实际上是个有效的EXE，在不支持PE文件格式的操作系统中，它将简单显示一个错误提示，类似于字符串 “该程序不能在DOS模式下运行”或者程序员可根据自己的意图实现完整的DOS代码。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

引导型病毒的机理和解析引导型计算机病毒的机理和解析摘要：引导型病毒是什么，其技术发展，优缺点，特点以及来源，引导型病毒的机制，解析源于DOS高级版本以及Windows 9X的新型引导型病毒的结构，并提出引导型病毒的检测和防治方法。

关键词：引导区硬盘内存新型引导型病毒病毒结构防治计算机病毒是指在计算机程序中插入的破坏计算机功能或数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。

计算机病毒具有3个基本特性：感染性、潜伏性和表现性。

换句话来说计算机病毒是人为的特制程序或指令程序，具有自我复制能力，并有一定的潜伏性、特定的触发性和很大的破坏性。

计算机病毒的种类繁多，按感染方式分为：引导型病毒、文件感染病毒和混合型病毒。

引导型病毒感染硬盘主引导扇区或引导扇区以及软盘的引导扇区，如大麻、火炬、BREAK等病毒。

1 引导型病毒1.1 简介引导型病毒寄生在主引导区、引导区，病毒利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以引导型病毒寄生在主引导区、引导区，病毒利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。

引导型病毒进入系统，一定要通过启动过程。

在无病毒环境下使用的软盘或硬盘，即使它已感染引导区病毒，也不会进入系统并进行传染，但是，只要用感染引导区病毒的磁盘引导系统，就会使病毒程序进入内存，形成病毒环境。

1.2 计算机启动过程在分析引导型病毒之前，必须清楚正常的系统启动过程。

上电或复位后，ROM_BIOS的初始化程序完成相应的硬件诊断，并设置ROM_BIOS中断和参数，调用INT19H自举。

注意ROM_BIOS初始化程序已设置了BIOS中断。

对于硬盘启动，自举程序将硬盘物理第1扇（主引导记录）读到内存首址为0:7C00的区域处，开始执行硬盘主引导区程序，找到激活分区，并将该分区首扇（引导区）也读到0:7C00处（自身下移），然后转移到0:7C00处执行引导记录。

引导软盘启动，设有主引导记录，自举程序直接将A盘引导记录即A盘0面0道1扇区读到内存0:7C00处，执行引导记录。

引导记录引导操作系统，操作系统完成对输入/输出和内核等的初始化后，整个启动过程结束。

1.3 引导型病毒机制引导型病毒占据主引导扇区或引导扇区的全部或一部分，将分区表信息或引导记录移到磁盘的其他位置，并在文件分配表（FAT）中将这些信息标明为坏簇。

病毒在计算机引导时首先获取系统控制权，将病毒的主要部分调入内存并驻留在内存高端，修改常规内存容量大小字单元[0:413H]，将常规内存容量虚假减少，防止以后系统内存调度时覆盖占用内存高端的病毒体。

同时修改某些常用中断的中断向量，使之指向内存高端的病毒程序。

最后一条跳转指令转向主引导记录或引导记录的位置，将控制权交回系统以完成正常的系统启动工作。

以后只要调用这些中断，就会先执行常驻内存高端的病毒体，病毒搜索并感染其他可能有的磁盘，或执行病毒体的表现部分，破坏计算机系统的正常工作。

若不满足激发条件，病毒也可以继续潜伏，将系统控制权交回系统。

引导型病毒是在操作系统引导前就已驻留内存高端。

由于主引导记录和引导记录在系统启动结束后不再执行，因此引导型病毒必须修改中断向量，指向自己，才有被激活已完成感染，潜伏、破坏等功能的机会。

大多数引导型病毒会修改1NT 13H中断，当用户读写磁盘，如执行DIR、EDIT、Windows中列文件目录等命令时，就会执行1NT 13H，激活病毒体。

2 引导型病毒主要特点：引导型病毒是在安装操作系统之前进入内存，寄生对象又相对固定，因此该类型病毒基本上不得不采用减少操作系统所掌管的内存容量方法来驻留内存高端。

而正常的系统引导过程一般是不减少系统内存的。

引导型病毒需要把病毒传染给软盘，一般是通过修改INT 13H 的中断向量，而新INT 13H中断向量段址必定指向内存高端的病毒程序。

引导型病毒感染硬盘时，必定驻留硬盘的主引导扇区或引导扇区，并且只驻留一次，因此引导型病毒一般都是在软盘启动过程中把病毒传染给硬盘的。

而正常的引导过程一般是不对硬盘主引导区或引导区进行写盘操作的。

引导型病毒的寄生对象相对固定，把当前的系统主引导扇区和引导扇区与干净的主引导扇区和引导扇区进行比较，如果内容不一致，可认定系统引导区异常。

3 引导型病毒的优缺点：引导型病毒的优点：隐蔽性强，兼容性强，一个好的病毒程序是不容易被发现的，通用于DOS和Windows 95操作系统。

引导型病毒的缺点：很多，如传染速度慢，一定要带毒软盘启动才能传到硬盘，杀毒容易，只需改写引导区即可，如：fdisk/mbr,kv200/k。

KV200能查出所有引导型病毒，底板能对引导区写保护，所以现在纯引导型病毒已很少了。

在各种PC机病毒中，引导区型病毒并不是数量占多数的一类，但引导区型病毒往往具有较强的破坏性。

4 传统引导型病毒结构以引导型病毒感染软盘引导扇区为例，制作病毒母盘的主要步骤及其结构如下：（1）将A盘0面0道1扇区（引导记录）转移到2扇区，对于DOS系统启动盘，其0面0道2扇区为保留扇区，不会被其他磁盘文件覆盖。

对于Windows 9x启动盘，其0面0道2扇区不是保留扇区，因此应将引导记录转移到磁盘其他位置，如最后的扇区，并在FAT中标注此扇区为坏簇。

在debug下用13H中断1号读功能，将引导记录读到内存，再用2号写功能将引导记录写入0面0道2扇区。

这样该软盘的第2扇区保留一个正常的引导记录。

（2）将病毒代码写入0面0道1扇区，引导记录前3个字节是无条件转移指令，转移到boot程序入口处。

其后63个字节是磁盘驱动器参数表DBD及其它参数，再后是boot程序及有效标志，参数不必修改，病毒代码写到原boot程序处。

以后只要执行磁盘读写命令就会感染A盘。

若满足触发条件，则启动破坏模块。

5 新型引导病毒型病毒结构DOS 3.x及以上版本，Windows 9X等操作系统在计算机启动过程中与DOS低版本有所不同，当引导记录引导操作系统时，操作系统在初始化中为了扩充功能，扩展了大多数常用的BIOS中断，并修改了中断向量。

传统的引导型病毒在操作系统加载前就修改了13H等中断向量，使其指向驻留内存高端的病毒体。

而新的操作系统启动时将13H号等中断向量做了修改，不再指向病毒体。

病毒体虽然驻留在内存高端，但永远没有被激活的机会，所以不能进行传染和破坏。

通过对DOS 6.22和Windows 98操作系统引导前后中断向量表内容的比较发现，1A号、5号等少数中断向量没有变化。

BIOS初始化设置中断后，机器每秒自动调用18.2次1AH号中断。

因此新型引导型病毒修改该中断（短时期），新的1AH中断服务程序等待操作系统启动结束后，再修改13H中断，指向病毒体，然后恢复1AH中断。

下面以一个感染A盘的病毒样本为例，解析新型引导型病毒结构。

带毒系统软盘的0面0道1扇区（简称R扇区）存放病毒引导模块和修复后的1AH号中断服务程序。

0面3道12H扇区（简称P扇区）存放正常引导记录。

0面3道11H扇区（简称Q扇区）存放修改后的13H号中断服务程序，并在FAT表中将P、Q扇区标注为坏簇。

（1）病毒引导模块功能将R扇区内容移到内存高端并驻留；将Q扇区内容读入内存高端驻留；修改1AH号中断向量；读A盘FAT表将P、Q扇区标注为坏簇并写回；将P扇区内容（正常引导记录）读入0:7C00处，转移执行正常的引导记录。

（2）修改后的1AH号中断由于系统每秒自动调用18.2次1AH中断，因此可以将它作为软件定时器。

修改后的1AH中断服务程序检测对1AH中断的调用次数。

当达到预定次数时，即定时时间到，操作系统已启动完毕，修改13H号中断，然后恢复1AH原来的中断。

（3）修改后的13H号中断对磁盘进行读写操作的命令一般都调用13H号中断，修改后的13H号中断包括传染模块和破坏模块；先判断是否读写A盘。

若是，且没有病毒感染的标志则将A盘0面0道1扇区和Q扇区，然后执行正常的13H号中断服务程序；若不是读写A盘或A盘有感染标志，则判断是否满足破坏模块的触发条件（可用系统日期、时间或感染次数等），若满足则执行破坏模块，否则执行正常13H中断服务程序。

必须注意的是，在修改后的中断服务程序中读写磁盘时，不能简单地使用INT 13指令来调用13H号原来的中断服务程序，否则会导致死循环。

6 引导型计算机病毒的检测方法（1）常用的引导型病毒检测方法——特征串判别法。

引导型病毒为了避免重复传染，每种病毒均具有病毒程序自身的标志，当在BOOT扇区中找到病毒程序独特的标志后，就证明磁盘已感染该类操作系统型病毒。

特征代码被用于SCAN、CPAV等著名病毒检测工具中，国外专家认为特征串判别法是检测已知病毒的最简单、开销最小的方法。

此方法是针对在已知病毒特征串的前提下而采用的方法。

具体步骤如下：1.启动DEBUG,EXE。

2.将可疑盘的BOOT扇区装入内存。

3.用DEBUG的S命令搜索病毒特征串。

特征代码串具有检测准确、快速、误报警率低、可依据检测结果做杀毒处理等优点。

但它也具有不能检测未知病毒，在网络上效率低等缺点。

（2）内存容量检测法病毒为了延长其活动时间，以得到更多的传染机会，都要把自己驻留内存，并且使自己占用的内存空间不被用户程序和数据所覆盖，它只能改变系统内存的大小，使DOS“丢失”几K字节的内存，即病毒使DOS的管理范围缩小。

病毒则隐藏在这些“丢失”的单元里，长期起破坏作用。

引导型计算机病毒修改在内存0000；0413处存放的常规内存容量，使病毒代码可以常驻在被减去的那一块高端内存。

另外还有中断向量检测法和首指令检测法。

7 引导型计算机病毒的防治对引导型病毒的查杀通常有两种方法：（1）分析具体病毒的特征，根据特征判断当前引导扇区是否感染了病毒，是则清除之。

（2）采用智能方法，综合分析正确引导扇区的特征，对当前引导扇区加以分析判断，认定是否正常，若认为不正常，则设法恢复正常。

以上方法都存在不足，不能清除所有引导型病毒，而智能方法则有可能因误判而造成系统无法启动，对于在主引导扇区中不保留原分区表信息的引导型病毒，智能方法无法清除病毒，因为无法恢复风分区表信息。

这两种方法都要求用无毒软盘启动以防止收到病毒欺骗，因为为了防止其他程序改写病毒占据的引导扇区，有些病毒程序采取了伪装措施，在病毒程序控制下，外部程序对引导扇区的读写被改向到其它扇区，在那里存有被病毒保存的原引导扇区程序。