病毒攻擊原理分析

以引導型病毒為例來分析病毒的攻擊原理。

想要了解引導型病毒的攻擊原理，首先要了解引導區的結構。硬盤有兩個引導區，在0面0道1扇區的稱為主引導區，內有主引導程序和分區表，主引導程序查找激活分區，該分區的第一個扇區即為DOS BOOT SECTOR。絕大多數病毒可以感染硬盤主引導扇區和軟盤DOS引導扇區。

盡管Windows操作系統使用廣泛，但計算機在被引導至Windows界面之前，還是需要基于傳統的DOS自舉過程，從硬盤引導區讀取引導程序。圖1和圖2分別描述了正常的DOS自舉過程和帶病毒的DOS自舉過程。

圖1 正常的DOS自舉過程

圖2 帶病毒的DOS自舉過程

正常的DOS啟動過程如下：

① 通電開機后，進入系統的檢測程序并執行該程序，以對系統的基本設備進行檢測;

② 檢測正常后，從系統盤0面0道1扇區（即邏輯0扇區）讀Boot引導程序到內存的0000:7C00處;

③ 轉入Boot執行;

④ Boot判斷是否為系統盤，如果不是，則給出提示信息;否則，讀入并執行兩個隱含文件，并將COMMAND.com裝入內存;

⑤ 系統正常運行，DOS啟動成功。

如果系統盤感染了病毒，則DOS的啟動將會是另一種情況，其過程如下：

① 將Boot區中的病毒代碼首先讀入內存的0000:7C00處;

② 病毒將自身的全部代碼讀入內存的某一安全地區，常駐內存，并監視系統的運行;

③ 修改INT 13H中斷服務處理程序的入口地址，使之指向病毒控制模塊并執行;因為任何一種病毒感染軟盤或者硬盤時，都離不開對磁盤的讀寫操作，所以修改INT 13H中斷服務程序的入口地址是一項必不可少的操作;

④ 病毒程序全部被讀入內存后，再讀入正常的Boot內容到內存的0000:7C00處，并進行正常的啟動過程;

⑤ 病毒程序伺機（準備隨時）感染新的系統盤或非系統盤。

如果發現有可攻擊的對象，則病毒要進行下列工作：

① 將目標盤的引導扇區讀入內存，并判別該盤是否感染了病毒;

② 當滿足傳染條件時，將病毒的全部或部分寫入Boot區，把正常的磁盤引導區程序寫入磁盤的特定位置;

③ 返回正常的INT 13H中斷服務處理程序，完成對目標盤的傳染。
責編AJX