【文章內(nèi)容簡介】 也不像許多其他引導(dǎo)記錄病毒一樣，它感染活動(dòng)分區(qū)的分區(qū)引導(dǎo)記錄，而不是硬盤上的主引導(dǎo)區(qū)記錄。 ? 當(dāng)計(jì)算機(jī)從感染的軟盤或硬盤引導(dǎo)時(shí)， Form就駐留到內(nèi)存中。當(dāng)病毒駐留后，它會去感染訪問的所有非寫保護(hù)磁盤。 Form占據(jù)系統(tǒng)內(nèi)存頂端的 2KB，并且在 BDA的 Total memory in K bytes域增加2KB來擴(kuò)大系統(tǒng)內(nèi)存大小，從而為它自己保留空間。病毒截取 BIOS磁盤系統(tǒng)服務(wù)提供者以感染其他媒體。 ? 在病毒安裝到內(nèi)存后，它檢查系統(tǒng)的日期，而且如果是這個(gè)月的 18日，就會截取鍵盤系統(tǒng)服務(wù)提供者。然后每次用戶按下一個(gè)鍵時(shí)，病毒就使 PC揚(yáng)聲器發(fā)出一個(gè)“單擊”聲。如果鍵盤驅(qū)動(dòng)程序直接安裝到計(jì)算機(jī)上，這種單擊聲可能不會出現(xiàn)，但是病毒仍然會適當(dāng)傳染。 ? 病毒把原來的引導(dǎo)記錄和它的部分可執(zhí)行代碼存放到硬盤的最后一個(gè)扇區(qū)或者軟盤中標(biāo)記為損壞的簇。 ? Form中包括以下文本： The FORM Virus sends greeting to everyone who’s reading this doesn’t destroy data! Don’t panic! F*****S go to Corinne. ? 除了可能覆蓋原來的引導(dǎo)扇區(qū)之外， Form一般不會損壞文件和數(shù)據(jù)。 4. 主引導(dǎo)記錄病毒 (1) 硬盤主引導(dǎo)區(qū)記錄 ? 可以把一個(gè)物理的硬盤劃分成多個(gè)不同的邏輯盤， 而且還可以為了組織數(shù)據(jù)的需要把一塊盤分成多個(gè)分區(qū)。例如，可以用一個(gè)分區(qū)存儲不同的操作系統(tǒng)或者在一個(gè)分區(qū)存儲字處理文件，而在另一個(gè)分區(qū)存儲程序，再用一個(gè)分區(qū)存儲游戲。 ? 主引導(dǎo)區(qū)記錄 (MBR)是存儲于硬盤的第一個(gè)磁道、扇區(qū)、磁頭的一個(gè)結(jié)構(gòu)，每個(gè)物理硬盤都包含正好一個(gè)MBR。 MBR中包含一個(gè)分區(qū)表，它代表所有扇區(qū)及其各自分區(qū)的分配。程序需要用硬盤上的分區(qū)表 (就像它們需要軟盤上的 BIOS參數(shù)一樣 )理解磁盤的特征。例如，硬盤上存在多少個(gè)分區(qū) (即邏輯盤 )。 ? MBR還包含一個(gè)以硬盤啟動(dòng)時(shí)所使用的自舉程序。MBR的自舉例程類似于軟盤的自舉例程，它負(fù)責(zé)裝入默認(rèn)的操作系統(tǒng)，并且把計(jì)算機(jī)引導(dǎo)到可用狀態(tài)。 ? 硬盤的 MBR成為攻擊目標(biāo)有兩個(gè)原因。首先，在所有 PC硬盤的同一個(gè)物理位置上只包含一個(gè)硬盤主引導(dǎo)區(qū)記錄。因此，病毒編寫者可以方便地編寫出幾乎能夠在市場任何 PC上起作用的病毒。其次，當(dāng)計(jì)算機(jī)從硬盤引導(dǎo)時(shí)， MBR中的自舉例程總是要裝入執(zhí)行的。如果病毒用它自己的 MBR自舉例程代替原來的 MBR自舉例程，在每次系統(tǒng)引導(dǎo)時(shí)它都會執(zhí)行。在系統(tǒng)引導(dǎo)期間，在任何基于軟件的反病毒程序有機(jī)會裝入并保護(hù)系統(tǒng)之前，病毒會完全控制計(jì)算機(jī)。 (2) 主引導(dǎo)記錄區(qū)病毒 ? 絕大多數(shù)軟盤引導(dǎo)區(qū)記錄 (FBR)病毒感染硬盤的主引導(dǎo)區(qū)記錄 (MBR)。實(shí)質(zhì)上 MBR病毒是另一種形 式的 FBR病毒，它駐留在硬盤的主引導(dǎo)區(qū)記錄中而不是軟盤的引導(dǎo)區(qū)記錄中。就像 FBR和 PBR病毒一樣，在 MBR病毒被激活以前，它要在引導(dǎo)時(shí)被裝入并執(zhí)行。 ? 主引導(dǎo)區(qū)記錄病毒比分區(qū)引導(dǎo)記錄病毒更普遍。在PBR病毒感染前，它必須查找分區(qū)表找到活動(dòng)分區(qū)，然后確定活動(dòng)分區(qū)的引導(dǎo)扇區(qū)，并且感染引導(dǎo)扇區(qū)。MBR病毒的感染過程沒有這么復(fù)雜。 ? 在硬盤引導(dǎo)期間， ROM BIOS引導(dǎo)程序從連接到計(jì)算機(jī)的基本硬盤中裝入 MBR。它然后驗(yàn)證 MBR在扇區(qū)的最后是否有正確的特征標(biāo)記，如果是這樣的話，它就把控制傳送給 MBR的自舉程序。 ? 在一個(gè)已感染的 MBR中，病毒感染的自舉例程會代替原來的自舉例程。在 ROM BIOS引導(dǎo)程序把控制傳送給 MBR自舉程序的時(shí)候，病毒就得到了控制權(quán)。一般的 MBR病毒把它自己安裝為內(nèi)存駐留服務(wù)提供者，就像 FBR和 PBR病毒一樣。 ? 大多數(shù) MBR病毒在帶毒的自舉例程中維護(hù)原來分區(qū)表的一份準(zhǔn)確拷貝，因?yàn)?DOS和許多應(yīng)用程序需要這一信息來確定計(jì)算機(jī)上可用的邏輯盤。然而有些病毒可能不會在 MBR中維護(hù)一份有效的分區(qū)表。任何時(shí)候當(dāng) DOS和其他程序請求硬盤的 MBR時(shí)，這種類型病毒安裝的駐留內(nèi)存的服務(wù)提供者就會隱藏感染，并且用原來有效的 MBR和分區(qū)表的拷貝提供給請求的程序。 ? 一般的 MBR病毒就像 FBR和 PBR病毒感染一樣，也需要把原來 MBR的一份拷貝保存到硬盤的某個(gè)地方。以后，在計(jì)算機(jī)從已感染的硬盤引導(dǎo)并且病毒把它自己安裝為駐留的服務(wù)提供者之后，病毒就要裝入原來的 MBR并把控制傳送給這個(gè) MBR的自舉例程。原來 MBR的自舉例程然后能夠裝入活動(dòng)分區(qū)的 PBR，會進(jìn)行正常引導(dǎo)。 ? 有些病毒不會在磁盤的某個(gè)地方保存原來的 MBR；在這種情況下，病毒會包含與原來的 MBR相同的自舉功能。病毒完全憑自己把活動(dòng)分區(qū)的 PBR裝入，并把控制傳送給該 PBR，完全越過了原來 MBR的自舉程序。 ? 用于大多數(shù)硬盤的磁盤分區(qū)軟件 (FDISK)在硬盤 MBR之后會留下一個(gè)磁道的未用扇區(qū)。一般的MBR選擇其中的一個(gè)扇區(qū)存放原來的 MBR，因?yàn)檫@些扇區(qū)在大多數(shù)系統(tǒng)中是不使用的。 ? 通常，一個(gè)種類的病毒會把原來的 MBR存放在這一區(qū)域的同一位置。相應(yīng)的病毒程序總是可以從這一區(qū)域的同一個(gè)扇區(qū)存放和取得 MBR。 ? MBR病毒以與 FBR和 PBR病毒同樣的方式把自己安裝成一個(gè)內(nèi)存駐留的服務(wù)提供者。作為磁盤服務(wù)提供者，任何時(shí)候當(dāng)用戶或操作系統(tǒng)要訪問某個(gè)磁盤時(shí)，病毒就能夠控制計(jì)算機(jī)。在最普遍的情況下，病毒會等待對軟盤的訪問，并且在對軟盤進(jìn)行其他合法訪問時(shí)它就要感染軟盤。 ? MBR病毒把原來的主引導(dǎo)記錄存放在硬盤第一個(gè) 磁道的某個(gè)地方，因?yàn)椴《緵]有檢查就假設(shè)這部分空間可以用于它自己的目標(biāo)。不幸的是，并不總是這種情況。許多不同的磁盤管理和訪問控制包都把它們自己的自舉程序和數(shù)據(jù)存放在這一區(qū)域。如果病毒盲目地把原來 MBR的一份拷貝保存到這里，它就可能會覆蓋磁盤驅(qū)動(dòng)器，在以后的引導(dǎo)中引起系統(tǒng)崩潰。 ? 如果用戶從一塊未感染的軟盤引導(dǎo)并且要訪問硬盤，這樣做就不可能成功。病毒無法隱藏對分區(qū)表的修改，因?yàn)樗鼪]有駐留在內(nèi)存中。如果感染的 MBR不包含相應(yīng)的分區(qū)表， DOS就會拒絕它訪問硬盤。 (3) MBR病毒的例子 ? NYB也稱為 B1病毒，是一種簡單的內(nèi)存駐留的采用Stealthing技術(shù)的引導(dǎo)區(qū)記錄病毒。它不會感染文件。當(dāng)用戶從感染的軟盤引導(dǎo)時(shí)它就會感染硬盤主引導(dǎo)區(qū)記錄。當(dāng)計(jì)算機(jī)從硬盤或感染的軟盤引導(dǎo)時(shí)病毒就會駐留到內(nèi)存中。 ? 當(dāng)病毒駐留在內(nèi)存中時(shí)，它就會感染計(jì)算機(jī)訪問的任何非寫保護(hù)磁盤。 NYB通過減少在 BDA的 Total memory in K bytes域制定的系統(tǒng)內(nèi)存量在高端內(nèi)存中保留 1KB的空間。感染的硬盤把原來的 MBR存放在 0磁道、 0磁頭、 17扇區(qū)。確定原來引導(dǎo)記錄存放在軟盤中的位置要使用一種復(fù)雜的算法。下面列出這種算法的結(jié)果。病毒截取 BIOS磁盤系統(tǒng)服務(wù)提供者以便感染其他媒體，并且通過重定向磁盤讀取隱藏和隱蔽它自己。 ? 這種病毒不會以任何方式激活，但是它有時(shí)完成一系列隨機(jī)讀取。這種病毒能夠通過隨機(jī)讀、寫以及用原來的引導(dǎo)扇區(qū) /分區(qū)表覆蓋破壞數(shù)據(jù)。 ? NYB病毒不像 Form病毒，它不會在計(jì)算機(jī)屏幕上顯示文本信息。 ? 綜上所述，引導(dǎo)型病毒具有隱蔽性強(qiáng)、兼容性強(qiáng)等優(yōu)點(diǎn)，作為一個(gè)成熟的病毒程序是不容易被發(fā)現(xiàn)的，其通用于 DOS、 Windows 95操作系統(tǒng)。但它的缺點(diǎn)也很多，如傳染速度慢，一定要有帶毒軟盤啟動(dòng)才能傳到硬盤；殺毒容易，只需改寫引導(dǎo)區(qū)即可，如使用命令： fdisk/mbr或 kv3000/k。 KV3000能查出所有引導(dǎo)型病毒，主板能對引導(dǎo)區(qū)寫保護(hù)，所以現(xiàn)在單純的引導(dǎo)型病毒已經(jīng)很少了。 文件型病毒 ? 文件型病毒使用可執(zhí)行文件作為傳播的媒介。它們使用 DOS中 3種基本的可執(zhí)行文件格式： COM 文件、 EXE文件和 SYS文件中的一種或多種格式作為攻擊目標(biāo)。 ? 這種基本文件病毒通過把它自己的一份拷貝附加到一種未感染的可執(zhí)行程序中，從而進(jìn)行復(fù)制。然后它修改這種新的宿主程序，以便當(dāng)程序執(zhí)行時(shí)病毒能夠首先執(zhí)行。 ? 大多數(shù)文件病毒都很容易為反病毒程序檢測和清除。首先，除了一部分例外，大多數(shù)文件病毒都在或接近可執(zhí)行文件的入口點(diǎn)處感染。入口點(diǎn)是文件中操作系統(tǒng)開始執(zhí)行程序的地方。感染入口點(diǎn)能夠保證當(dāng)程序執(zhí)行時(shí)病毒能夠控制計(jì)算機(jī)。 ? 不感染可執(zhí)行程序入口點(diǎn)的病毒不能保證獲得對計(jì)算機(jī)的控制。病毒可能把它自己插入程序的數(shù)據(jù)部分，從而到程序結(jié)束也不會執(zhí)行，這種病毒會破壞或改變宿主程序的行為。這些和其他感染程序中任意位置的問題不會吸引病毒編寫者的興趣。 ? 只有用戶或操作系統(tǒng)執(zhí)行被這種病毒感染的文件時(shí)它才能控制計(jì)算機(jī)。也就是說，只要被感染的文件不執(zhí)行，它們是無害的。它們可以被復(fù)制、查看和刪除而不會引起問題。 ? 病毒可以根據(jù)可執(zhí)行文件類型 (COM、 EXE或 SYS)選擇程序文件的感染方法。下面描述了幾種一般程序文件感染技術(shù)。 (1) COM文件的感染 ? COM文件格式是 DOS可執(zhí)行文件格式中最簡單的一種： COM文件的裝入過程也是最簡單的： DOS直接把程序讀入內(nèi)存，然后跳到程序映射中的第一條指令 (第一個(gè)字節(jié) )。當(dāng)進(jìn)行這個(gè)動(dòng)作時(shí)，這個(gè)程序就完全控制了計(jì)算機(jī)，直到它最后終止時(shí)把控制返回給 DOS。 (2) 前置型 COM病毒 ? 文件型病毒通過在可執(zhí)行文件映射的前部指令來感染 COM文件。病毒能夠保證它至少能以 4種不同的方式獲得控制，因?yàn)?COM文件的執(zhí)行必須從可執(zhí)行文件映射的第一個(gè)字節(jié)開始。首先一種，病毒可以把它自己插入 COM文件的前部，把原來的程序 ? 移到病毒代碼的后面。整個(gè)病毒就被放到可執(zhí)行文件映射的前部，當(dāng)程序裝入時(shí)它就會首先執(zhí)行。這種感染方法稱為前置，因?yàn)椴《景阉约悍诺剿拗鰿OM程序的開始處，如圖 。 圖 ? 病毒可以在 COM文件的可執(zhí)行文件映射前不修改機(jī)器語言程序以便把控制傳送給病毒，這樣病毒就可以放到可執(zhí)行文件的其他地方。病毒經(jīng)常把它自己附加到被感染程序的最后，而只修改可執(zhí)行文件映射到前面的幾條指令，這樣就可以把控制傳送給病毒代碼。 ? 在病毒改變程序的前幾條指令前，它必須記錄宿主程序的原來入口指令，這樣它完成后就可以修復(fù)宿主程序。如果不保存這些指令的話，當(dāng)病毒把控制傳送給宿主程序時(shí)， PC很可能會崩潰和工作不正常，從而破壞病毒隱藏的企圖。這種感染方法稱為后置，因?yàn)椴《景阉拇a放到宿主程序的最后，如圖 。 圖 (4) 覆蓋型 COM病毒 ? 用于感染 COM文件的第 3種技術(shù)稱為覆蓋。使用這種技術(shù)編寫的病毒通常編寫得非常野蠻。它們用病毒代碼完全覆蓋宿主程序的開始部分來感染 COM程序，如圖 ，它們不會保存宿主程序中被覆蓋字節(jié)的拷貝。結(jié)果，病毒執(zhí)行后原來的程序不能工作。如果一個(gè)計(jì)算機(jī)被這種類型病毒感染，修復(fù)被感染文件惟一的辦法是使用感染前的備份來恢復(fù)。 ? 覆蓋型病毒感染程序文件之后，程序可能會崩潰，也可能顯示一則假的出錯(cuò)信息，如沒有足夠內(nèi)存執(zhí)行程序。顯示這樣的出錯(cuò)信息是為了讓用戶相信PC有內(nèi)存管理問題而不是存在病毒。 (5) 改進(jìn)的覆蓋型 COM病毒 ? 用于感染 COM程序的最后一種方法稱為改進(jìn)的覆蓋。假定病毒是 V字節(jié)長，病毒會首先讀取宿主程序的前 V個(gè)字節(jié)，然后把這一信息附加到宿主程序的最后。接下來病毒使用自己的 V字節(jié)代碼覆蓋COM程序的前部，如圖 。在病毒完成其執(zhí)行后會修復(fù)宿主程序并使之正常執(zhí)行，因?yàn)槲锤腥镜乃拗鞒绦虻男畔⒁驯槐４妗? ? 在這些方法中每一個(gè)都會在 COM文件的入口點(diǎn)修改機(jī)器語言指令，以保證被感染的程序一經(jīng)裝入執(zhí)行就使病毒獲得對計(jì)算機(jī)的控制。它還意味著如果COM文件感染了病毒，病毒掃描程序只能掃描到它的有限部分 (病毒掃描機(jī)制在“計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范”部分詳細(xì)介紹 )。 圖 圖 (6) EXE文件的感染 ? 盡管病毒使用多種方法感染 COM文件，感染 EXE格式文件只有一種方法。 EXE文件有一個(gè)入口點(diǎn)變量，它通過程序頭標(biāo)的代碼段 (CS)和指令指針 (IP)標(biāo)識，如圖 。在 EXE感染最一般的形式中，病毒完成以下操作序列。 ① 在宿主程序中記錄宿主程序自己的原來入口點(diǎn)，這樣它以后就可以正常執(zhí)行宿主程序。 ② 把它自己的一份拷貝附加到宿主程序的最后。 ③ 在 EXE文件的頭標(biāo)改變?nèi)肟邳c(diǎn) (使用 CS和 IP域 )以指向病毒代碼。 ④ 在頭標(biāo)中改變其他域，包括程序的裝入映射大小域以反映病毒的存在。 ? 注意映射大小如何被增加了病毒的大小 V。還要注意 CS和 IP域指針現(xiàn)在指向病毒而不是指向原來的程序。 ? 這種感染方法保證一旦可執(zhí)行文件映射裝入內(nèi)存并執(zhí)行，病毒就能得到控制。就像 COM文件一樣，它也使得病毒的掃描更加方便。反病毒程序也可以方便地確定 EXE文件的入口點(diǎn)，這樣就限制了掃描病毒的時(shí)間域范圍。 圖 (7) SYS文件感染 ? SYS文件格式很獨(dú)特，它有兩個(gè)入口點(diǎn)： Interrupt 和 Strategy。當(dāng)操作系統(tǒng)在引導(dǎo)期間裝入文件時(shí)