[引导区病毒]引导区病毒症状是什么

引导区病毒症状介绍一：

软盘读写出现错误、无故读取软驱等。

3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，由于该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统

也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”，所以称为“鬼影”病毒。该病毒也因此成为国内首个“引导区”下载者病毒。

引导区病毒症状介绍二：

1. 生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。

2. 绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。

3. 不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。

4. 禁用windows自动更新和windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。

5. 破坏系统安全模式，使得用户不能启动系统到安全模式来

维护和修复。

6. 当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。

7. 在本地硬盘、u盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。

8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。

9.病毒运行后，鼠标右击菜单以及下拉菜单选项，会在1到两秒钟时间后，自动选择最后一个选项，不过可以使用快捷方式组合。

局域网中常见病毒及防范措施

局域网中常见病毒及防范措施一、计算机病毒 ●计算机病毒的基本特征 ●常见的计算机病毒分类 ●引导区病毒 ●文件型病毒 ●宏病毒 ●脚本病毒 ●病毒命名规则 1. 1 什么是计算机病毒 ●计算机病毒是一种人造的、在计算机运行中对计算机信息或系统起破坏作用的程序。这种程序不独立存在，隐蔽在其他可执行程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度；重则使机器处于瘫痪，给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。 1.2 计算机病毒的基本特征 ●可执行性：它是可执行的程序。 ●可传染性：通过各种渠道从已被感染的计算机传播到未被感染的文件、扇区或计算机。 ●破坏性：降低计算机系统的工作效率，占用系统资源，具体情况取决于入侵系统的病毒程序种类。 ●潜伏性：编写得精巧，进入系统后一般不马上发作，可在几周、几月内甚至几年内隐藏在合法文件中，潜伏性愈好，在系统中存在时间就愈长，传染范围就愈大。 ●隐蔽性：编程技巧很高，短小精悍。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。 ●针对性：一般都是针对特定的操作系统，还有针对特定的应用程序的。 ●可触发性：因某事件或数值出现，诱使病毒实施感染或进行攻击的特性。 1.3 常见的计算机病毒分类 ●按破坏性分 ●按传染方式分 ●按连接方式分 1.3.1按传染方式分

(1) 引导区型病毒：隐藏在磁盘引导区内。 (2) 文件型病毒：关联到文件内。 (3) 混合型病毒：混合型病毒具有引导区型病毒和文件型病毒两者的特点。 (4) 宏病毒：寄生在Office文档上，影响对文档的各种操作。是用VBA 语言编写的病毒程序的宏代码。 (5) 蠕虫病毒：网络传播的病毒. 按连接方式分 ●源码型病毒：攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。源码型病毒较为少见，亦难以编写。 ●入侵型病毒：可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。 ●操作系统型病毒：用其自身一部分加入或替代操作系统的部分功能。因其直接感染操作系统，其危害性也较大。 ●外壳型病毒：通常将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。 1.4 引导区型病毒 ●什么是引导区 ●引导区病毒的危害 ●如何防范引导区病毒 1.4.1 引导区病毒 ●硬盘引导区及其病毒 ●软盘/优盘引导区及病毒 2.4.1 引导区---硬盘引导区 ●位置：是硬盘上0柱0头1扇的区域，又名MBR区或分区表区。 ●包含：引导程序、磁盘参数表、分区信息（C:、D: …等）。 ●特点：扇区隐藏，用户无法看到其内容。 ●病毒：占据引导程序的部分位置。 2.4.1 引导区---软盘/优盘引导区 ●包含：引导程序、软/优盘参数表。 ●特点：用户较容易看到其内容。 2.4.2 引导区病毒的危害 ●当计算机从感染引导区病毒的硬盘或软盘启动、从受感染的软盘中读取数据时引导区病毒开始发作，除使磁盘不能正确工作外，还将自己拷贝到内存中，

引导型病毒的机理和解析

引导型计算机病毒的机理和解析摘要：引导型病毒是什么，其技术发展，优缺点，特点以及来源，引导型病毒的机制，解析源于DOS高级版本以及Windows 9X的新型引导型病毒的结构，并提出引导型病毒的检测和防治方法。关键词：引导区硬盘内存新型引导型病毒病毒结构防治计算机病毒是指在计算机程序中插入的破坏计算机功能或数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有3个基本特性：感染性、潜伏性和表现性。换句话来说计算机病毒是人为的特制程序或指令程序，具有自我复制能力，并有一定的潜伏性、特定的触发性和很大的破坏性。计算机病毒的种类繁多，按感染方式分为：引导型病毒、文件感染病毒和混合型病毒。引导型病毒感染硬盘主引导扇区或引导扇区以及软盘的引导扇区，如大麻、火炬、BREAK等病毒。 1 引导型病毒 1.1 简介引导型病毒寄生在主引导区、引导区，病毒利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依

据，而不是以引导型病毒寄生在主引导区、引导区，病毒利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。引导型病毒进入系统，一定要通过启动过程。在无病毒环境下使用的软盘或硬盘，即使它已感染引导区病毒，也不会进入系统并进行传染，但是，只要用感染引导区病毒的磁盘引导系统，就会使病毒程序进入内存，形成病毒环境。 1.2 计算机启动过程在分析引导型病毒之前，必须清楚正常的系统启动过程。上电或复位后，ROM_BIOS的初始化程序完成相应的硬件诊断，并设置

引导型病毒的机理和解析

据该物理位置即可获得控制权，而将真正的引导区内容搬家转移，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。引导型病毒进入系统，一定要通过启动过程。在无病毒环境下使用的软盘或硬盘，即使它已感染引导区病毒，也不会进入系统并进行传染，但是，只要用感染引导区病毒的磁盘引导系统，就会使病毒程序进入内存，形成病毒环境。 1.2 计算机启动过程在分析引导型病毒之前，必须清楚正常的系统启动过程。上电或复位后，ROM_BIOS的初始化程序完成相应的硬件诊断，并设置ROM_BIOS中断和参数，调用INT19H自举。注意ROM_BIOS初始化程序已设置了BIOS中断。对于硬盘启动，自举程序将硬盘物理第1扇（主引导记录）读到内存首址为0:7C00的区域处，开始执行硬盘主引导区程序，找到激活分区，并将该分区首扇（引导区）也读到0:7C00处（自身下移），

怎样编写主引导记录和BOOT区病毒

怎样编写主引导记录和BOOT区病毒怎样编写主引导记录和BOOT区病毒什么是主引导记录？主引导记录存放在何处？主引导记录是用来装载硬盘活动分区的BOOT扇区的程序。主引导记录存放于硬盘0道0柱面1扇区，长度最大为一个扇区。从硬盘启动时，BIOS引导程序将主引导记录装载至0：7C00H处，然后将控制权交给主引导记录。一般的，BOOT 区病毒存在于软盘。因为软盘不存在分区，可以将其看成为软盘的主引导记录。软盘的BOOT区存在于其0道0面1 扇区，长度为一个扇区。一般的主引导记录病毒的原理。一般的，这类病毒是把原来的主引导记录保存后用自己的程序替代掉原来的主引导记录。启动时，当病毒体得到控制权，在做完了自己的处理后，病毒将保存的原主引导记录读入0：7C00,然后将控制权交给原主引导记录进行启动。这类病毒对硬盘的感染一般是在用带毒软盘启动的时候，对软盘的感染一般是在当系统带毒时对软盘操作时。编写主引导记录病毒需要了解的几点 1、用什么来保存原始主引导记录。众所周知的，文件型病毒用以保存被感染修改的部分是文件。引导型病毒是否也可以使用文件存储被覆盖的引导记录呢？答案是否定的。由于主引导记录病毒先于操作系统执行，因而不能使用操作系统的功能调用，而只能使用BIOS的功能调用或者使用直接的IO设计。一般的，使用BIOS的磁盘服务将主引导记录保存于绝对的扇区内。由于零道零面二扇区是保留扇区，因而通常使用它来保存。 2、需要掌握的BIOS磁盘服务功能调用。 INT 13H 子功能02H 读扇区

其调用方法为：入口为： AH=02H AL=读入的扇区数 CH=磁道号 CL=扇区号（从1开始） DH=头号 DL=物理驱动器号 ES:BX-->要填充的缓冲区返回为：当CF置位时表示调用失败AH=状态 AL=实际读入的扇区数 INT 13H 子功能03H写扇区其调用方法为：入口为： AH=03H AL=写入的扇区数 CH=磁道号 CL=扇区号（从1开始） DH=头号 DL=物理驱动器号 ES:BX-->缓冲区

MBR病毒分析

MBR病毒分析 Date：2010.10.29 Author：Cryin’ Blog：https://www.360docs.net/doc/b518930875.html,/justear 一、基础知识 1、Windows启动过程系统引导过程主要由以下几个步骤组成(以硬盘启动为例) 1、开机; 2、BIOS加电自检(POST---Power On Self Test),内存地址为0fff:0000; 3、将硬盘第一个扇区(0头0道1扇区,也就是Boot Sector)读入内存地址0000:7c00处; 4、检查(WORD)0000:7dfe是否等于0xaa55.若不等于则转去尝试其他介质;如果没有其他启动介质,则显示”No ROM BASIC”,然后死机; 5、跳转到0000:7c00处执行MBR中的程序; 6、MBR先将自己复制到0000:0600处,然后继续执行; 7、在主分区表中搜索标志为活动的分区.如果发现没有活动分区或者不止一个活动分区, 则停止; 8、将活动分区的第一个扇区读入内存地址0000:7c00处; 9、检查(WORD)0000:7dfe是否等于0xaa55,若不等于则显示“Missing Operating System”, 然后停止,或尝试软盘启动; 10、跳转到0000:7c00处继续执行特定系统的启动程序; 11、启动系统.以上步骤中(2),(3),(4),(5)步由BIOS的引导程序完成;(6),(7),(8),(9),(10) 步由MBR中的引导程序完成. Windows启动过程主要由以下几个步骤组成，其中vista和win7可一概而论；

2、硬盘主引导区结构硬盘的主引导区在0柱面0磁道1扇区，包括硬盘主引导记录MBR（Main Boot Record）、四个分区表DPT（Disk Partition Table）信息和主引导记录有效标志字三部分，如表所示：主引导记录MBR从0000H开始到00D9H结束，共218个字节。MBR的作用就是检查分区表是否正确以及确定哪个分区为引导分区，并在程序结束时把该分区的启动程序（也就是操作系统引导扇区）调入内存加以执行。MBR是由分区程序（例如DOS的Fdisk.exe）产生的，在不同的操作系统平台下，这个扇区的内容可能不完全相同。主引导记录比较容易编写，例如，我们自己也可以编写一个这样的程序，只要能完成前述的任务就可以了（参见网上资料“主引导扇区代码（MBR）”）。正是因为主引导记录容易编写，所以才出现了很多的引导区病毒（eeye bootroot、Vbootkit、Stoned bootkit、Sinowal等）。我们都知道，任何硬盘最多只能有四个分区。分区表自偏移01BEH处开始，共64个字

引导型病毒实验原理

引导型病毒实验原理【实验原理】一、主引导扇区主引导扇区是硬盘的第一个扇区（0柱面0磁头1扇区），由主引导记录（MBR）、主分区表即磁盘分区表（DPT）和引导扇区标记三部分组成，是完成系统BIOS箱操作系统交接的重要入口。该分区在进行硬盘分区时产生，用fdisk/mbr可以重建标准的主引导记录程序。主引导扇区的具体内容为：主引导记录占用引导扇区的前446个字节，存放系统主引导程序（负责从活动分区中装在并运行系统引导程序），不随操作系统的不同而不同，具有公共引导的特性。主分区表占用64个字节，记录了磁盘的基本分区信息，主分区表分别为4个分区表项，每项16个字节，分别记录了每个主分区的信息，因此最多可以有4个主分区。引导区标志占用两个字节，对于合法引导区，它等于0xAA55。二、引导型病毒所谓的引导型病毒，是指专门感染主引导扇区和引导扇区的计算机病毒，感染主引导区的病毒称为MBR病毒，感染引导区的病毒称作BR病毒。引导型病毒的基本原理如图2.4.4-1所示，其中13H中断如图2.4.4-2所示。如果用带毒软盘启动，首先判断硬盘是否已经中毒，未，中毒则感染之，余下的处理同图2.4.4-1所示。

图2.4.4-1引导型病毒基本原理图2.4.4-2引导型病毒13H中断从计算机的启动引导过程可以看出，系统BIOS完成相关检测、初始化后，读主引导扇区/引导扇区至内存固定位置0:7C00处，并转交系统控制权。控制权转角是以物理位置为依据，而不是以扇区内容为依据，转交的条件是扇区的有效标志55AA。引导型病毒正是利用这一点，通过感染主引导扇区和引导扇区，在启动系统时就获取控制权。由于只有在启动系统时采读取引导型病毒的病毒体，因此引导性病毒要繁殖，必须主流内存，并伺机传染发作，病毒需要在内存中为自己预留空间，这就是病毒将0:413单元的值减少1KB 或nKB的目的。因为系统BIOS上电自检时，将常规内存大小存入0:413，减少nKB后，

[引导区病毒]引导区病毒症状是什么

[引导区病毒]引导区病毒症状是什么引导区病毒症状介绍一：软盘读写出现错误、无故读取软驱等。 3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，由于该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”，所以称为“鬼影”病毒。该病毒也因此成为国内首个“引导区”下载者病毒。引导区病毒症状介绍二： 1. 生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。 2. 绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。 3. 不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。 4. 禁用windows自动更新和windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。 5. 破坏系统安全模式，使得用户不能启动系统到安全模式来

维护和修复。 6. 当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。 7. 在本地硬盘、u盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。 8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。 9.病毒运行后，鼠标右击菜单以及下拉菜单选项，会在1到两秒钟时间后，自动选择最后一个选项，不过可以使用快捷方式组合。相关阅读：引导区病毒清除方法 1.找一张“干净”的启动盘(没有这个引导区病毒的盘)，启动你的计算机，一般安装操作系统的时候都会提示您制作启动盘。如果手头没有启动盘或者您不能保证启动盘是否是“干净”的可以在别的计算机上做一张干净的可引导盘，此引导盘可以在windows 95/98/me系统上通过“添加/删除程序”进行制作，但要注意的是，制作软盘的操作系统须所使用的操作系统相同，也就是说如果系统是windows me的话，是不能使用一张windows 98的启动盘进行下述操作的。 2.用这张软盘引导启动带毒的计算机，然后运行以下命令：

[引导区病毒]引导区病毒怎么样清理

[引导区病毒]引导区病毒怎么样清理引导区病毒清理方法一： yx(引导区)病毒的清除方法：要看清楚该文件的感染位置。如果病毒是在suhdlog.dat或suhdlog.bak文件中，那么直接删除即可。其实，这是硬盘引导区先染上了引导区病毒，以后在安装windows系统时，没有先查杀病毒，直接就安装了windows系统。所以，windows先将引导区做了一个文件形式的备份，文件suhdlog.dat就是其备份，该文件以隐含的形式存放在windows系统根目录下，由于该引导型病毒存在文件中，没有作用，所以可以直接删除。如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上，就可以借助本地硬盘上的反病毒软件直接进行查杀，或者干脆把移动存储设备上的文件备份到硬盘上，然后重新格式化掉移动存储设备，再把文件复制回去。如果病毒确实是在硬盘的引导区上，也不用怕，这类病毒的清除方法很简单，针对不同的操作系统有不同的清除方法，一般可以不依靠杀毒软件。不过在清除之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文windows、linux等。 windows 95/98/me系统上的清除方法： 1.找一张“干净”的启动盘(没有这个引导区病毒的盘)，启

动你的计算机，一般安装操作系统的时候都会提示您制作启动盘。如果您手头没有启动盘或者您不能保证启动盘是否是“干净”的，您可以在别的计算机上做一张干净的可引导盘，此引导盘可以在windows 95/98/me系统上通过“添加/删除程序”进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同，也就是说如果你的系统是windows me的话，你是不能使用一张windows 98的启动盘进行下述操作的。 2.用这张软盘引导启动带毒的计算机，然后运行以下命令： a:\fdisk /mbr [回车] a:\sys a: c: [回车] 然后重新启动计算机就可以了。其中第一行用于清除主引导记录中的病毒，第二行用于清除c 盘引导区上的病毒。 windows 2000/xp系统上的清除方法： 1.如果你之前通过x:\i386\winnt3 2.exe /cmdcons命令安装了恢复控制台可以直接选择进入。如果以前没有安装过恢复控制台则要使用系统的安装光盘启动计算机。当出现安装界面的时候按r选择“要用‘恢复控制台’修复”。系统会提示你登入到哪个系统，请输入相应的序号然后按回车。 2.然后分别执行fixmbr(恢复主引导记录)和fixboot(恢复启动盘上的引导区)，再输入exit[回车]，重新启动即可。清除引导区病毒的注意事项: 1.如果用干净的启动盘启动计算机以后发现不能访问硬盘，而且硬盘不是ntfs格式，但是用硬盘启动计算机以后可以访问硬

实验1引导区病毒概览

XI`AN TECHNOLOGICAL UNIVERSITY 实验报告实验课程名称引导区病毒

一．实验目的 1.了解系统启动过程 2.学习实模式下DEBUG命令的相关操作 3.了解引导区病毒的基本原理 4.学会如何修复引导区二．实验原理一．引导型病毒定义引导型病毒，也叫开机型病毒，主要感染计算机主引导扇区和引导扇区的一类计算机病毒；其中，感染主引导扇区的病毒称作MBR病毒，感染引导区的病毒称为BR病毒。二．计算机的启动过程在计算机系统启动时，BIOS加电自检及设备初始化成功后，BIOS将启动盘的0磁道，0柱面，1扇区的主引导记录（MBR）加载到内存物理地址0000：7C00（文档中的内存地址均采用16进制表示），并检查物理地址0000：7DFE处的字是否为0xAA55（引导区有效标记），若不相等给出“No Rom BASIC”提示，然后死机，若相等执行主引导程序，主引导记录（MBR）先将自己复制到内存的其他地方以让出0：7C00处的512B的空间，然后在主分区表中搜索标志为0x80（分区已被激活，0则表示未被激活）的激活分区，如发现没有或有多个激活分区，则提示“Invalid partition table”，并停止，否则将激活分区的第一个扇区（即系统引导扇区DBR）读入内存物理地址0000：7C00，并查找物理地址0000：7DFE处的字是否等于0xAA55，若不等于，则显示“Missing Operating System”然后停止，否则继续执行操作引导程序，引导计算机进入操作系统，完成整个引导过程。三．中断中断就是CPU暂停当前程序的执行，转而执行处理紧急事物的程序，并在该事物处理结束后能自动恢复执行原先程序的过程，在此，称引起紧急事物的事件为中断源，称处理紧急事件的程序为中断服务程序或中断管理程序。中断的分类很多，按触发的原因，有硬中断和软中断之分。硬中断有实际的硬件事件引起，例如，除以零、算术溢出、按下键盘键等；软中断是因程序执行了计算机的INT指令造成的，例如，INT 21H将执行21H中断，这里21H称作中断号，其中“H”表示该数据为16进制。系统就是通过中断号来找到相应的中断处理程序的。软件中断包括BIOS中断（提供系统最底层硬件调用例程），DOS中断（系统中断服务例程）和用户自定义中断等。 CPU为了处理并发中的中断请求，规定了中断优先权。单步中断规定了中断优先级后，当多个中断同时发生的时候，CPU就会按中断优先级的顺序来处理中断请求了。当处理某一中断过程中，有比当前处理的中断优先级高的中断请求时，CPU 会响应更高级的中断。中断向量表（Interrupt Vectors）是一个特殊的线性表，它保存这系统所有中断服务程序的入口地址（偏移量和段地址）。中断向量表占用内存最低端的0000H到03FEH的1KB 物理地址空间，存放这256个元素，即远指针（中断向量），标号从00H到0FFH，每一个中断向量的入口地址占4个字节，高2字节存放中断向量的段地址，低2字节存放中断向量的偏移地址。一个中断向量指向一个中断服务处理程序。中断程序调用方法通常为，利用MOV 指令对中断程序需要用到的寄存器赋值，然后调用INT n执行中断，n为调用中断程序的中断号。四．内存寻址技术简介

引导型病毒试验

实验二引导型病毒试验专业班级学号姓名实验学时实验类型实验地点实验时间指导老师高虎实验成绩年月日一实验目的通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染染毒文件的方法，提高汇编语言的使用能力。二实验内容 1.引导阶段病毒由软盘感染硬盘实验。通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制；阅读和分析病毒的代码。 2.DOS 运行时病毒由硬盘感染软盘的实现。通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制；阅读和分析病毒的代码。三预备知识本实验需要如下的预备知识： 1. 引导病毒的基础知识，包括引导病毒的概念，引导扇区的位置和结构等。 2. BIOS 常用中断的相关知识，包括对磁盘的读写和屏幕字符的打印等。汇编语言基础，能独立阅读和分析汇编代码，掌握常用的汇编指令。四实验环境 VMWare Workstation 5.5.3 或者8.0 均可 MS.DOS 7.10 实验素材：experiments 目录下的bootvirus 目录。 2.4 实验步骤第一步：环境安装安装虚拟机VMWare，在虚拟机环境内安装MS-DOS 7.10 环境。安装步骤参考附录。第二步：软盘感染硬盘（1）运行虚拟机，检查目前虚拟硬盘是否含有病毒。（2）复制含有病毒的虚拟软盘virus.img （3）将含有病毒的软盘插入虚拟机引导，可以看到闪动的字符*^_^*，。第三步：验证硬盘已经被感染 (1) 取出虚拟软盘，通过硬盘引导，再次出现了病毒的画面。（2）按任意键后正常引导了DOS 系统，如图2.5 所示。此时，硬盘已经被感染。第四步：硬盘感染软盘 (1)下载empty.img，并且将它插入虚拟机，启动计算机，由于该盘为空，但该显示一瞬即逝，很快又变成了病毒的画面。（2）取出虚拟软盘，从硬盘启动，通过命令formatA:q 快速格式化软盘。可能提示出错，这时只要按下R 键即可. 五实验思考

引导型病毒

引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。引导区病毒的传播方式：下面主要说一下目前传播最为广泛的引导区病毒WYX。这个病毒传播的唯一途径就是使用感染有该病毒的启动盘（包含可启动的光盘）启动计算机。如果只是读取感染有引导区病毒的软盘或者光盘上的文件是不会被感染。如果你的机器已经感染该病毒，并且病毒驻留了内存，则你的软盘如果没有写保护的话很容易被感染。 WYX病毒的清除：当你的杀毒软件查出了机器感染了WYX的时候请不要惊慌，先要看清楚该文件的感染位置。如果病毒是在SUHDLOG.DAT或SUHDLOG.BAK文件中，那么直接删除即可。其实，这是硬盘引导区先染上了引导区病毒，以后在安装WINDOWS系统时，没有先查杀病毒，直接就安装了WINDOWS系统。所以，WINDOWS先将引导区做了一个文件形式的备份，文件SUHDLOG.DAT 就是其备份，该文件以隐含的形式存放在WINDOWS系统根目录下，由于该引导型病毒存在文件中，没有作用，所以可以直接删除。如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀，或者干脆把移动存储设备上的文件备份到硬盘上，然后重新格式化掉移动存储设备，再把文件复制回去。如果病毒确实是在硬盘的引导区上，也不用怕，这类病毒的清除方法很简单，针对不同的操作系统有不同的清除方法，一般可以不依靠杀毒软件。不过在清除之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows、Linux等。 Windows 95/98/me系统上的清除方法： 1．找一张“干净”的启动盘（没有这个引导区病毒的盘），启动你的计算机，一般安装操作系统的时候都会提示您制作启动盘。如果您手头没有启动盘或者您不能保证启动盘是否是“干净”的，您可以在别的计算机上做一张干净的可引导盘，此引导盘可以在Windows 95/98/me系统上通过“添加／删除程序”进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同，也就是说如果你的系统是Windows me的话，你是不能使用一张Windows 98的启动盘进行下述操作的。 2．用这张软盘引导启动带毒的计算机，然后运行以下命令： A:\fdisk /mbr ［回车］ A:\sys a: c: ［回车］然后重新启动计算机就可以了。其中第一行用于清除主引导记录中的病毒，第二行用于清除C盘引导区上的病毒。 Windows 2000/XP系统上的清除方法： 1．如果你之前通过X:\i386\winnt32.exe /cmdcons命令安装了恢复控制台可以直接选择进入。如果以前没有安装过恢复控制台则要使用系统的安装光盘启动计算机。当出现安装界面的时候按R选择“要用‘恢复控制台’修复”。系统会提示你登入到哪个系统，请输入相应的序号然后按回车。 2．然后分别执行fixmbr（恢复主引导记录）和fixboot（恢复启动盘上的引导区），再