【文章內容簡介】 也不像許多其他引導記錄病毒一樣，它感染活動分區(qū)的分區(qū)引導記錄，而不是硬盤上的主引導區(qū)記錄。 ? 當計算機從感染的軟盤或硬盤引導時， Form就駐留到內存中。當病毒駐留后，它會去感染訪問的所有非寫保護磁盤。 Form占據系統(tǒng)內存頂端的 2KB，并且在 BDA的 Total memory in K bytes域增加2KB來擴大系統(tǒng)內存大小，從而為它自己保留空間。病毒截取 BIOS磁盤系統(tǒng)服務提供者以感染其他媒體。 ? 在病毒安裝到內存后，它檢查系統(tǒng)的日期，而且如果是這個月的 18日，就會截取鍵盤系統(tǒng)服務提供者。然后每次用戶按下一個鍵時，病毒就使 PC揚聲器發(fā)出一個“單擊”聲。如果鍵盤驅動程序直接安裝到計算機上，這種單擊聲可能不會出現，但是病毒仍然會適當傳染。 ? 病毒把原來的引導記錄和它的部分可執(zhí)行代碼存放到硬盤的最后一個扇區(qū)或者軟盤中標記為損壞的簇。 ? Form中包括以下文本： The FORM Virus sends greeting to everyone who’s reading this doesn’t destroy data! Don’t panic! F*****S go to Corinne. ? 除了可能覆蓋原來的引導扇區(qū)之外， Form一般不會損壞文件和數據。 4. 主引導記錄病毒 (1) 硬盤主引導區(qū)記錄 ? 可以把一個物理的硬盤劃分成多個不同的邏輯盤， 而且還可以為了組織數據的需要把一塊盤分成多個分區(qū)。例如，可以用一個分區(qū)存儲不同的操作系統(tǒng)或者在一個分區(qū)存儲字處理文件，而在另一個分區(qū)存儲程序，再用一個分區(qū)存儲游戲。 ? 主引導區(qū)記錄 (MBR)是存儲于硬盤的第一個磁道、扇區(qū)、磁頭的一個結構，每個物理硬盤都包含正好一個MBR。 MBR中包含一個分區(qū)表，它代表所有扇區(qū)及其各自分區(qū)的分配。程序需要用硬盤上的分區(qū)表 (就像它們需要軟盤上的 BIOS參數一樣 )理解磁盤的特征。例如，硬盤上存在多少個分區(qū) (即邏輯盤 )。 ? MBR還包含一個以硬盤啟動時所使用的自舉程序。MBR的自舉例程類似于軟盤的自舉例程，它負責裝入默認的操作系統(tǒng)，并且把計算機引導到可用狀態(tài)。 ? 硬盤的 MBR成為攻擊目標有兩個原因。首先，在所有 PC硬盤的同一個物理位置上只包含一個硬盤主引導區(qū)記錄。因此，病毒編寫者可以方便地編寫出幾乎能夠在市場任何 PC上起作用的病毒。其次，當計算機從硬盤引導時， MBR中的自舉例程總是要裝入執(zhí)行的。如果病毒用它自己的 MBR自舉例程代替原來的 MBR自舉例程，在每次系統(tǒng)引導時它都會執(zhí)行。在系統(tǒng)引導期間，在任何基于軟件的反病毒程序有機會裝入并保護系統(tǒng)之前，病毒會完全控制計算機。 (2) 主引導記錄區(qū)病毒 ? 絕大多數軟盤引導區(qū)記錄 (FBR)病毒感染硬盤的主引導區(qū)記錄 (MBR)。實質上 MBR病毒是另一種形 式的 FBR病毒，它駐留在硬盤的主引導區(qū)記錄中而不是軟盤的引導區(qū)記錄中。就像 FBR和 PBR病毒一樣，在 MBR病毒被激活以前，它要在引導時被裝入并執(zhí)行。 ? 主引導區(qū)記錄病毒比分區(qū)引導記錄病毒更普遍。在PBR病毒感染前，它必須查找分區(qū)表找到活動分區(qū)，然后確定活動分區(qū)的引導扇區(qū)，并且感染引導扇區(qū)。MBR病毒的感染過程沒有這么復雜。 ? 在硬盤引導期間， ROM BIOS引導程序從連接到計算機的基本硬盤中裝入 MBR。它然后驗證 MBR在扇區(qū)的最后是否有正確的特征標記，如果是這樣的話，它就把控制傳送給 MBR的自舉程序。 ? 在一個已感染的 MBR中，病毒感染的自舉例程會代替原來的自舉例程。在 ROM BIOS引導程序把控制傳送給 MBR自舉程序的時候，病毒就得到了控制權。一般的 MBR病毒把它自己安裝為內存駐留服務提供者，就像 FBR和 PBR病毒一樣。 ? 大多數 MBR病毒在帶毒的自舉例程中維護原來分區(qū)表的一份準確拷貝，因為 DOS和許多應用程序需要這一信息來確定計算機上可用的邏輯盤。然而有些病毒可能不會在 MBR中維護一份有效的分區(qū)表。任何時候當 DOS和其他程序請求硬盤的 MBR時，這種類型病毒安裝的駐留內存的服務提供者就會隱藏感染，并且用原來有效的 MBR和分區(qū)表的拷貝提供給請求的程序。 ? 一般的 MBR病毒就像 FBR和 PBR病毒感染一樣，也需要把原來 MBR的一份拷貝保存到硬盤的某個地方。以后，在計算機從已感染的硬盤引導并且病毒把它自己安裝為駐留的服務提供者之后，病毒就要裝入原來的 MBR并把控制傳送給這個 MBR的自舉例程。原來 MBR的自舉例程然后能夠裝入活動分區(qū)的 PBR，會進行正常引導。 ? 有些病毒不會在磁盤的某個地方保存原來的 MBR；在這種情況下，病毒會包含與原來的 MBR相同的自舉功能。病毒完全憑自己把活動分區(qū)的 PBR裝入，并把控制傳送給該 PBR，完全越過了原來 MBR的自舉程序。 ? 用于大多數硬盤的磁盤分區(qū)軟件 (FDISK)在硬盤 MBR之后會留下一個磁道的未用扇區(qū)。一般的MBR選擇其中的一個扇區(qū)存放原來的 MBR，因為這些扇區(qū)在大多數系統(tǒng)中是不使用的。 ? 通常，一個種類的病毒會把原來的 MBR存放在這一區(qū)域的同一位置。相應的病毒程序總是可以從這一區(qū)域的同一個扇區(qū)存放和取得 MBR。 ? MBR病毒以與 FBR和 PBR病毒同樣的方式把自己安裝成一個內存駐留的服務提供者。作為磁盤服務提供者，任何時候當用戶或操作系統(tǒng)要訪問某個磁盤時，病毒就能夠控制計算機。在最普遍的情況下，病毒會等待對軟盤的訪問，并且在對軟盤進行其他合法訪問時它就要感染軟盤。 ? MBR病毒把原來的主引導記錄存放在硬盤第一個 磁道的某個地方，因為病毒沒有檢查就假設這部分空間可以用于它自己的目標。不幸的是，并不總是這種情況。許多不同的磁盤管理和訪問控制包都把它們自己的自舉程序和數據存放在這一區(qū)域。如果病毒盲目地把原來 MBR的一份拷貝保存到這里，它就可能會覆蓋磁盤驅動器，在以后的引導中引起系統(tǒng)崩潰。 ? 如果用戶從一塊未感染的軟盤引導并且要訪問硬盤，這樣做就不可能成功。病毒無法隱藏對分區(qū)表的修改，因為它沒有駐留在內存中。如果感染的 MBR不包含相應的分區(qū)表， DOS就會拒絕它訪問硬盤。 (3) MBR病毒的例子 ? NYB也稱為 B1病毒，是一種簡單的內存駐留的采用Stealthing技術的引導區(qū)記錄病毒。它不會感染文件。當用戶從感染的軟盤引導時它就會感染硬盤主引導區(qū)記錄。當計算機從硬盤或感染的軟盤引導時病毒就會駐留到內存中。 ? 當病毒駐留在內存中時，它就會感染計算機訪問的任何非寫保護磁盤。 NYB通過減少在 BDA的 Total memory in K bytes域制定的系統(tǒng)內存量在高端內存中保留 1KB的空間。感染的硬盤把原來的 MBR存放在 0磁道、 0磁頭、 17扇區(qū)。確定原來引導記錄存放在軟盤中的位置要使用一種復雜的算法。下面列出這種算法的結果。病毒截取 BIOS磁盤系統(tǒng)服務提供者以便感染其他媒體，并且通過重定向磁盤讀取隱藏和隱蔽它自己。 ? 這種病毒不會以任何方式激活，但是它有時完成一系列隨機讀取。這種病毒能夠通過隨機讀、寫以及用原來的引導扇區(qū) /分區(qū)表覆蓋破壞數據。 ? NYB病毒不像 Form病毒，它不會在計算機屏幕上顯示文本信息。 ? 綜上所述，引導型病毒具有隱蔽性強、兼容性強等優(yōu)點，作為一個成熟的病毒程序是不容易被發(fā)現的，其通用于 DOS、 Windows 95操作系統(tǒng)。但它的缺點也很多，如傳染速度慢，一定要有帶毒軟盤啟動才能傳到硬盤；殺毒容易，只需改寫引導區(qū)即可，如使用命令： fdisk/mbr或 kv3000/k。 KV3000能查出所有引導型病毒，主板能對引導區(qū)寫保護，所以現在單純的引導型病毒已經很少了。 文件型病毒 ? 文件型病毒使用可執(zhí)行文件作為傳播的媒介。它們使用 DOS中 3種基本的可執(zhí)行文件格式： COM 文件、 EXE文件和 SYS文件中的一種或多種格式作為攻擊目標。 ? 這種基本文件病毒通過把它自己的一份拷貝附加到一種未感染的可執(zhí)行程序中，從而進行復制。然后它修改這種新的宿主程序，以便當程序執(zhí)行時病毒能夠首先執(zhí)行。 ? 大多數文件病毒都很容易為反病毒程序檢測和清除。首先，除了一部分例外，大多數文件病毒都在或接近可執(zhí)行文件的入口點處感染。入口點是文件中操作系統(tǒng)開始執(zhí)行程序的地方。感染入口點能夠保證當程序執(zhí)行時病毒能夠控制計算機。 ? 不感染可執(zhí)行程序入口點的病毒不能保證獲得對計算機的控制。病毒可能把它自己插入程序的數據部分，從而到程序結束也不會執(zhí)行，這種病毒會破壞或改變宿主程序的行為。這些和其他感染程序中任意位置的問題不會吸引病毒編寫者的興趣。 ? 只有用戶或操作系統(tǒng)執(zhí)行被這種病毒感染的文件時它才能控制計算機。也就是說，只要被感染的文件不執(zhí)行，它們是無害的。它們可以被復制、查看和刪除而不會引起問題。 ? 病毒可以根據可執(zhí)行文件類型 (COM、 EXE或 SYS)選擇程序文件的感染方法。下面描述了幾種一般程序文件感染技術。 (1) COM文件的感染 ? COM文件格式是 DOS可執(zhí)行文件格式中最簡單的一種： COM文件的裝入過程也是最簡單的： DOS直接把程序讀入內存，然后跳到程序映射中的第一條指令 (第一個字節(jié) )。當進行這個動作時，這個程序就完全控制了計算機，直到它最后終止時把控制返回給 DOS。 (2) 前置型 COM病毒 ? 文件型病毒通過在可執(zhí)行文件映射的前部指令來感染 COM文件。病毒能夠保證它至少能以 4種不同的方式獲得控制，因為 COM文件的執(zhí)行必須從可執(zhí)行文件映射的第一個字節(jié)開始。首先一種，病毒可以把它自己插入 COM文件的前部，把原來的程序 ? 移到病毒代碼的后面。整個病毒就被放到可執(zhí)行文件映射的前部，當程序裝入時它就會首先執(zhí)行。這種感染方法稱為前置，因為病毒把它自己放到宿主COM程序的開始處，如圖 。 圖 ? 病毒可以在 COM文件的可執(zhí)行文件映射前不修改機器語言程序以便把控制傳送給病毒，這樣病毒就可以放到可執(zhí)行文件的其他地方。病毒經常把它自己附加到被感染程序的最后，而只修改可執(zhí)行文件映射到前面的幾條指令，這樣就可以把控制傳送給病毒代碼。 ? 在病毒改變程序的前幾條指令前，它必須記錄宿主程序的原來入口指令，這樣它完成后就可以修復宿主程序。如果不保存這些指令的話，當病毒把控制傳送給宿主程序時， PC很可能會崩潰和工作不正常，從而破壞病毒隱藏的企圖。這種感染方法稱為后置，因為病毒把它的代碼放到宿主程序的最后，如圖 。 圖 (4) 覆蓋型 COM病毒 ? 用于感染 COM文件的第 3種技術稱為覆蓋。使用這種技術編寫的病毒通常編寫得非常野蠻。它們用病毒代碼完全覆蓋宿主程序的開始部分來感染 COM程序，如圖 ，它們不會保存宿主程序中被覆蓋字節(jié)的拷貝。結果，病毒執(zhí)行后原來的程序不能工作。如果一個計算機被這種類型病毒感染，修復被感染文件惟一的辦法是使用感染前的備份來恢復。 ? 覆蓋型病毒感染程序文件之后，程序可能會崩潰，也可能顯示一則假的出錯信息，如沒有足夠內存執(zhí)行程序。顯示這樣的出錯信息是為了讓用戶相信PC有內存管理問題而不是存在病毒。 (5) 改進的覆蓋型 COM病毒 ? 用于感染 COM程序的最后一種方法稱為改進的覆蓋。假定病毒是 V字節(jié)長，病毒會首先讀取宿主程序的前 V個字節(jié)，然后把這一信息附加到宿主程序的最后。接下來病毒使用自己的 V字節(jié)代碼覆蓋COM程序的前部，如圖 。在病毒完成其執(zhí)行后會修復宿主程序并使之正常執(zhí)行，因為未感染的宿主程序的信息已被保存。 ? 在這些方法中每一個都會在 COM文件的入口點修改機器語言指令，以保證被感染的程序一經裝入執(zhí)行就使病毒獲得對計算機的控制。它還意味著如果COM文件感染了病毒，病毒掃描程序只能掃描到它的有限部分 (病毒掃描機制在“計算機網絡病毒的防范”部分詳細介紹 )。 圖 圖 (6) EXE文件的感染 ? 盡管病毒使用多種方法感染 COM文件，感染 EXE格式文件只有一種方法。 EXE文件有一個入口點變量，它通過程序頭標的代碼段 (CS)和指令指針 (IP)標識，如圖 。在 EXE感染最一般的形式中，病毒完成以下操作序列。 ① 在宿主程序中記錄宿主程序自己的原來入口點，這樣它以后就可以正常執(zhí)行宿主程序。 ② 把它自己的一份拷貝附加到宿主程序的最后。 ③ 在 EXE文件的頭標改變入口點 (使用 CS和 IP域 )以指向病毒代碼。 ④ 在頭標中改變其他域，包括程序的裝入映射大小域以反映病毒的存在。 ? 注意映射大小如何被增加了病毒的大小 V。還要注意 CS和 IP域指針現在指向病毒而不是指向原來的程序。 ? 這種感染方法保證一旦可執(zhí)行文件映射裝入內存并執(zhí)行，病毒就能得到控制。就像 COM文件一樣，它也使得病毒的掃描更加方便。反病毒程序也可以方便地確定 EXE文件的入口點，這樣就限制了掃描病毒的時間域范圍。 圖 (7) SYS文件感染 ? SYS文件格式很獨特，它有兩個入口點： Interrupt 和 Strategy。當操作系統(tǒng)在引導期間裝入文件時