Download
1 / 187
1.87k likes | 2.05k Views
《 网络信息安全 》. 中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn. 第 8 章 计算机病毒. 计算机病毒概述 计算机病毒原理 计算机病毒编制的关键技术 蠕虫 木马 病毒对抗技术. 计算机病毒概述. 概述. 1. 计算机病毒定义. 计算机病毒的特征. 2. 计算机病毒的历史. 3. 计算机病毒的分类. 4. 名称的由来. 由生物医学上的 “ 病毒 ” 一词借用而来 与生物医学上 “ 病毒 ” 的异同 同:都具有传染性、流行性、针对性等 异:不是天生的,而是人为编制的具有特殊功能的程序
E N D
《网络信息安全》 中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn
第8章 计算机病毒 计算机病毒概述 计算机病毒原理 计算机病毒编制的关键技术 蠕虫 木马 病毒对抗技术
计算机病毒概述 3
概述 1 计算机病毒定义 计算机病毒的特征 2 计算机病毒的历史 3 计算机病毒的分类 4 4
名称的由来 • 由生物医学上的“病毒”一词借用而来 • 与生物医学上“病毒”的异同 • 同:都具有传染性、流行性、针对性等 • 异:不是天生的,而是人为编制的具有特殊功能的程序 • “计算机病毒”一词最早出现在美国作家Thomas J.Ryan于1977年出版的科幻小说他在书中虚构了一种能够自我复制、自我传播的计算机程序,并且给它起了一个奇怪的名字——计算机病毒。他可能作梦也没有想到过,不到十年,他的幻想就变成了严酷的现实。 5
潘多拉的盒子 • 1983年,美国的一个名叫旨雷德科恩的博士研究生,作了一篇关于计算机病毒的博士论文,论文的研究内容是:电脑程序能否自我繁殖和进入其它程序。其本意是想检验一个电脑程序能不能改变、影响另一个程序。检验结果证明,这是可行的,一个程序只要编得巧妙完全可以破坏、改变另一个程序。于是,这位研究生顺利通过了答辩,获得了博士学位。 • 但是,这位博士论文的通过,无意间打开了一个“潘多拉的盒子”放出了一个真正的恶魔,从此,计算机世界就永无宁日了。 6
计算机病毒定义 • 广义的定义:凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒(Computer Virus)。 • 1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条理》第28条中对计算机病毒的定义为:“指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能够自我复制的一组计算机指令或者程序代码”。 • 此定义具有法律性、权威性。 7
CIH病毒 CIH作者陈盈豪 CIH病毒的签名 8
骇人听闻的女鬼病毒 恐怖的图片和音乐 9
白雪公主病毒 巨大的黑白螺旋占据了屏幕位置,使计算机使用者无法进行任何操作! 10
我国计算机用户病毒感染率 11
计算机用户感染病毒的次数 12
最有破坏力的病毒 • 1. CIH (1998年) • 感染 Win95/98 中的可行性文件, 这种病毒在Windows环境下传播, 其实时性和隐蔽性都特别强, 变种可以重写 BIOS. 大约在世界范围内造成了两千万到八千万美元的损失. • 2.梅利莎 (Melissa,1999年) • Melissa病毒是一种迅速传播的宏病毒, 它作为电子邮件的附件进行传播, 尽管Melissa病毒不会毁坏文件或其它资源, 但是它可能会使企业或其它邮件服务端程序停止运行, 因为它发出大量的邮件形成了极大的电子邮件信息流. 1999年3月26日爆发, 感染了 15%-20% 的商业电脑, 带来了三千万到六千万美元的损失. 13
最有破坏力的病毒 • 3. 爱虫(I love you, 2000年) • 和 Melissa 一样通过电子邮件传播, 而其破坏性要比 Melissa 强的多, 可以删除本地部分图片和文本, 大约造成了一千万到一千五百万美元的损失. • 4. 红色代码(Code Red, 2001年) • Code Red 是一种蠕虫病毒, 本质上是利用了缓存区溢出攻击方式, 使用服务器的端口80进行传播, 而这个端口正是Web服务器与浏览器进行信息交流的渠道. 与其它病毒不同的是, Code Red 并不将病毒信息写入被攻击服务器的硬盘, 它只是驻留在被攻击服务器的内存中. 大约在世界范围内造成了二百八十万美元的损失. 14
计算机病毒的表现现象 • 1.平时运行正常的计算机突然经常性无缘无故地死机。 • 2.运行速度明显变慢。 • 3.打印和通讯发生异常。 • 4.系统文件的时间、日期、大小发生变化。 • 5.磁盘空间迅速减少。 • 6.收到陌生人发来的电子邮件。 • 8.硬盘灯不断闪烁。 • 9.计算机不识别硬盘。 • 10.操作系统无法正常启动。 • 11.部分文档丢失或被破坏。 • 12.网络瘫痪。 15
2 计算机病毒的特性 • 计算机病毒也是计算机程序,有着生物病毒相似的特性,病毒驻留在受感染的计算机内,并不断传播和感染可连接的系统,在满足触发条件时,病毒发作,破坏正常的系统工作,强占系统资源,甚至损坏系统数据。 • 1. 传染性 5. 针对性 9. 非授权性 • 2. 潜伏性 6. 隐蔽性 • 3. 可触发性 7. 衍生性 • 4. 破坏性 8. 寄生性 16
传染性 • 传染性是病毒的基本特征。病毒通过修改磁盘扇区信息或文件内容,并把自身嵌入到一切符合其传染条件的未受到传染的程序之上,实现自我复制和自我繁殖,达到传染和扩散的目的。被感染的程序和系统将成为新的传染源,在与其它系统和设备接触时继续进行传播。 • 其中,被嵌入的程序叫做宿主程序。病毒的传染可以通过各种移动存储设备,如软盘、移动硬盘、U盘、可擦写光盘、手机、PDA等;病毒可以通过有线网络、无线网络、手机网络等渠道迅速波及全球。例如,“爱虫”病毒在两天内迅速传播到世界的主要计算机网络,并造成欧、美国家的计算机网络瘫痪。 17
潜伏性 • 病毒在进入系统之后通常不会马上发作,可长期隐藏在系统中,除了传染外不做什么破坏,以提供足够的时间繁殖扩散。病毒在潜伏期,不破坏系统,因而不易被用户发现。潜伏性越好,其在系统中的存在时间就会越长,病毒的传染范围就会越大。病毒只有在满足特定触发条件时才启动其破坏模块。例如,PETER-2病毒在每年的2月27日会提三个问题答错后会将硬盘加密。著名CIH病毒在每月的26日发作。 18
可触发性 • 病毒因某个事件或数值的出现,激发其进行传染,或者激活病毒的表现部分或破坏部分的特性称为可触发性。计算机病毒一般都有一个或者多个触发条件,病毒的触发机制用来控制感染和破坏动作的频率。病毒具有的预定的触发条件可能是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。病毒运行时,触发机制检查预定条件是否满足,满足条件时,病毒触发感染或破坏动作,否则继续潜伏。 19
破坏性 • 占用CPU资源,额外占用或消耗内存空间,或禁止分配内存、蚕食内存,导致一些大型程序执行受阻,使系统性能下降。 • 干扰系统运行,例如不执行命令、干扰内部命令的执行、虚发报警信息、打不开文件、内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、文件无法存盘、文件存盘时丢失字节、内存减小、格式化硬盘等。 • 攻击CMOS。CMOS是保存系统参数(如系统时钟、磁盘类型、内存容量等)的重要场所。有的病毒(如CIH病毒)可以通过改写CMOS参数,破坏系统硬件的运行。 • 攻击系统数据区。硬盘的主引导扇区、boot(引导)扇区、FAT(文件分配)表、文件目录等,是系统重要的数据,这些数据一旦受损,将造成相关文件的破坏。 20
破坏性 • 干扰外部设备运行,如 • 干扰键盘操作。如EDV病毒能封锁键盘,使按任何键都没有反应;还有病毒产生换字、抹掉缓存区字符、输入紊乱等。 • 干扰屏幕显示。如小球病毒产生跳动的小白点;瀑布病毒使显示的字符像雨点一样一个个落到屏幕底部等。 • 干扰声响。如感染Attention病毒后,每按一键,喇叭就响一声;Yankee Doodle病毒在每天下午5时整会播出歌曲“Yankee Doodle”;救护车病毒(Ambulance Car)会在屏幕上出现一辆鸣着警笛来回跑的救护车。 • 干扰打印机。如Azsua病毒可以封锁打印机接口LPT1,当使用打印机时,会发出缺纸的假报警;1024SBC病毒会使打印机出现断断续续的打印失常;Typo-COM病毒会更换字符。 21
破坏性 • 攻击文件。现在发现的病毒中,大多数是文件型病毒。这些病毒会使染毒文件的长度、文件存盘时间和日期发生变化。例如,百年病毒、4096病毒等。 • 劫取机密数据。例如,微软公司在它的Microsoft Network中加入一种特洛伊木马程序,会把用户系统软件和硬件的完整清单送回到微软公司。 • 破坏网络系统的正常运行。例如发送垃圾邮件、占用带宽,使网络拒绝服务等。 • 有些病毒的破坏作用往往是多样的。 22
针对性 • 病毒是针对特定的计算机、操作系统、服务软件、甚至特定的版本和特定模版而设计的。例如:小球病毒是针对IBM PC机及其兼容机上的DOS操作系统的。“CodeBlue(蓝色代码)”专门攻击WINDOWS 2000操作系统。英文Word中的宏病毒模板在同一版本的中文Word中无法打开而自动失效。2002年1月8日出现的感染SWF文件的SWF.LFM.926病毒由于依赖Macro-media独立运行的Flash播放器,而不是依靠安装在浏览器中插件,使其传播受到限制。 23
隐蔽性 • 大部分病毒都设计得短小精悍,一般只有几百K甚至几十K字节,并且,病毒通常都附在正常程序中或磁盘较隐蔽的地方(如引导扇区),或以隐含文件形式出现,目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开的。病毒在潜伏期并不恶意破坏系统工作,受感染的计算机系统通常仍能正常运行,用户不会感到任何异常,从而隐藏病毒的存在,使病毒可以在不被察觉的情况下,感染尽可能多的计算机系统。 24
隐蔽性(续) • 传染的隐蔽性。大多数病毒在进行传染时速度极快,一般不具有外部表现,不易被发现。PC机对DOS文件的存取速度可达每秒几百KB以上,几百字节的病毒可在转瞬间附着在正常的程序之中,不易被人察觉。 • 存在的隐蔽性。病毒一般都附着在正常程序之中,正常程序被计算机病毒感染后,其原有功能基本上不受影响,使病毒在正常程序的工作过程中不断得到运行,传染更多的系统和资源,与正常程序争夺系统的控制权和磁盘空间,不断地破坏正常的系统。 25
衍生性 • 很多病毒使用高级语言编写,如“爱虫”是脚本语言病毒,“美丽杀”是宏病毒, 通过分析计算机病毒的结构可以了解设计者的设计思想,从而衍生出各种新的计算机病毒,称为病毒变种。这就是计算机病毒的衍生性。变种病毒造成的后果可能比原版病毒更为严重。“爱虫”病毒在十几天中,出现三十多种变种。“美丽杀”病毒也有多种变种,并且此后很多宏病毒都使用了“美丽杀”的传染机理。这些变种的主要传染和破坏的机理与母体病毒基本一致,只是改变了病毒的外部表象。 26
寄生性 • 病毒的寄生场所 寄生是病毒的重要特征。计算机病毒一般寄生在以下地方: • 寄生在可执行程序中。一旦程序执行,病毒就被激活,病毒程序首先被执行并常驻内存,然后置触发条件。感染的文件被执行后,病毒就会趁机感染下一个文件。 • 寄生在硬盘的主引导扇区中。这类病毒也称引导型病毒。任何操作系统都有自举过程,自举依靠引导模块进行,而操作系统的引导模块总是放在某个固定位置,这样系统每次启动就会在这个固定的地方来将引导模块读入内存,紧接着就执行它,来把操作系统读入内存,实现控制权的转接。引导型病毒程序就是利用这一点,它自身占据了引导扇区而将原来的引导扇区的内容和病毒的其他部分放到磁盘的其他空间,并将这些扇区标志为坏簇,不可写其他信息。这样,系统的一次初始化,就激活一次病毒,它首先将自身拷贝到内存,等待触发条件到来。 27
寄生性 • 引导型病毒按其寄生对象,可以分为MBR(主引导区)病毒和BR(引导区)病毒。MBR病毒也称分区病毒,这类病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1扇区,典型的有Stoned(大麻)病毒、2708病毒等。BR病毒则寄生在硬盘逻辑0扇区或软盘0扇区(即0面0道的第1扇区),典型的有Brain病毒、小球病毒等。 • 计算机病毒的寄生方式 • 替代法:病毒程序用自己的全部或部分代码,替代磁盘引导扇区或文件中的全部或部分内容。 • 链接法:病毒程序将自身代码作为正常程序的一部分与原有正常程序链接在一起。链接的位置可能在正常程序的首部、尾部或中间。 28
非授权执行性 • 用户在调用一个程序时,常常就把系统的控制权交给这个程序并给它分配相应的系统资源,使程序的执行对用户是透明的。计算机病毒具有正常程序所具有的一切特性,它隐蔽在合法程序和数据中;当用户运行正常程序时,病毒伺机取得系统的控制权,先于正常程序执行,并对用户呈透明状态。 29
其他特性 • 随着计算机软件和网络技术的发展,网络时代的病毒又具有很多新的特点如主动通过网络和邮件系统传播、传播速度极快、变种多;病毒不但能够复制自身给其他的程序,而且具有了蠕虫的特点,可以利用网络进行传播;具有了黑客程序的功能,一旦侵入计算机系统后,病毒控制可以从入侵的系统中窃取信息,远程控制这些系统。病毒的功能呈现多样化,也更具有危害性。 30
3 计算机病毒分类 • 1. 按照计算机病毒的危害程度分类 • 2. 按照传染方式分类 • 3. 按照计算机病毒的寄生方式分类 • 4. 其他一些分类方式 31
按照计算机病毒的危害程度分类 • 良性病毒是指不对计算机系统和数据进行彻底破坏的病毒。这类病毒占用系统资源,会导致整个系统运行效率降;与操作系统和应用程序争抢CPU的控制权,导致整个系统死锁,妨碍正常的系统操作。在多个病毒交叉感染时也可造成系统崩溃。如小球病毒、1575/1591病毒、救护车病毒、扬基病毒、Dabi病毒。 • 恶性病毒是指能够损伤和破坏计算机系统及其数据,在其传染或发作时对系统产生彻底破坏作用的病毒。目的明确,破坏数据、删除文件、加密磁盘、甚至格式化磁盘。米开朗基罗病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复。 32
按照传染方式分类 • 引导型病毒:主要通过感染软盘、硬盘上的引导扇区或改写磁盘分区表(FAT)来感染系统,引导型病毒是一种开机即可启动的病毒,优先于操作系统而存在。该病毒几乎常驻内存,激活时即可发作,破坏性大,早期的计算机病毒大多数属于这类病毒。 • 文件型病毒:它主要是以感染COM、EXE等可执行文件为主,被感染的可执行文件在执行的同时,病毒被加载并向其它正常的可执行文件传染。病毒以这些可执行文件为载体,当运行可执行文件时就可以激活病毒。 • 宏病毒:宏病毒是一种寄存于文档或模板的宏中的计算机病毒,是利用宏语言编写的。 33
按照计算机病毒的寄生方式分类 • 源码型病毒是用高级语言编写的,攻击用高级语言编写的程序。这种病毒若不进行汇编、链接,就无法传染扩散。 • 嵌入型病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。技术难度较大,一旦侵入后也较难消除。 • 外壳型病毒寄生在宿主程序的前面或后面,并修改程序的第一条执行指令,使病毒先于宿主程序执行。易于编写,易于发现,通过文件的大小判别。 34
其他分类方式 • 按照攻击的操作系统可分为:攻击DOS操作系统的、攻击Windows系统的、攻击UNIX系统的、攻击OS/2系统的病毒。 • 按照计算机病毒激活的时间可分为:定时发作的病毒和不由时钟来激活的随机病毒。 • 按照传播媒介可分为:以磁盘为载体的单机病毒和以网络为载体的网络病毒。 • 按攻击的机型还可将病毒分为:攻击微型机的病毒、攻击小型机的病毒和攻击工作站的病毒。 35
计算机病毒的传播 • 第一种途径:通过不可移动的计算机硬件设备进行传播。设备中有计算机的专用ASIC(Application Specific Integrated Circuit,特定用途集成电路)芯片和硬盘等。这种病毒极少,破坏力极强。 • 第二种途径:通过移动存储设备传染。如软盘、U盘、可擦写光盘、MP3、存储卡、记忆棒等。 • 第三种途径:通过计算机网络传播,是传播的主流途径,也是危害最大的传播途径。 • 第四种途径:通过点对点通信系统和无线通道传播。 36
病毒传播的主要途径 37
病毒的发展趋势 • 黑客、木马和间谍软件数量大幅度增长 • Botnet(僵尸网络)日益严重 • IM(即时通讯)和P2P软件成为传播病毒主要途径 • 病毒的目的性愈来愈强 • 手机病毒提高防范程度 • 警惕利用IM等应用软件漏洞自动传播的病毒 • 网页仿冒和网址嫁接成为新的网络公害 38
计算机病毒原理 39
计算机病毒的结构 计算机病毒的种类很多,但是它们的主要结构是类似的,一般需要包含4部分:引导部分、传染部分、表现部分和破坏部分。 (1)引导部分:就是病毒程序的初始化部分。它的作用是将病毒的主体加载到内存,为传染部分做准备(如驻留内存、修改中断、修改高端内存、保存原中断向量等操作)。 (2)传染部分:作用是将病毒代码复制到传染目标上去。传染需要一定的条件。不同类型的病毒在传染方式、传染条件上各不相同。进行传播之前,先要判断传染条件。 (3)表现部分:作用是在被传染系统上表现出特定现象。大部分病毒都是在一定条件下才会触发表现部分的。 (4)破坏部分:作用是产生破坏被传染系统的行为。 40
计算机病毒的引导过程 • 计算机病毒的引导过程一般分为三步:驻留内存、窃取控制权和恢复系统功能。 • 1. 驻留内存 • 病毒要发挥其破坏作用,多数要驻留内存。为了驻留内存,就必须开辟内存空间或覆盖系统占用的部分内存空间。 • 2. 窃取控制权 • 计算机病毒驻留内存后,接下来的工作是取代或扩充系统原有功能,并窃取系统的控制权。 • 3. 恢复系统功能 • 计算机病毒窃取系统控制权后,就要开始潜伏等待,即根据其设计思想,隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。然而,病毒为了隐蔽自己,驻留内存后还要恢复系统,使系统不致死机。 41
计算机病毒的触发机制 • 下面例举一些病毒的触发(激活)条件。 • (1)日期/时间触发:计算机病毒读取系统时钟,判断是否激活。例如: • PETER-2,在每年2月27日会提出3个问题,答错后会将硬盘加密。 • Yankee Doodle,在每天下午5时发作。 • “黑色星期五”,逢13日的星期五发作。 • “上海一号”,在每年的三、六、九月的13日发作。 • 1998年2月,台湾省的陈盈豪,编写出了破坏性极大的Windows恶性病毒CIH-1.2版,并定于每年的4月26日发作破坏,然后,悄悄地潜伏在网上的一些供人下载的软件中。可是,两个月的时间,被人下载的不多,到了4月26日,病毒只在台湾省少量发作,并没引起重视。陈盈豪又炮制了CIH-1.3版,并将破坏时间设在6月26日。7月,又炮制出了CIH-1.4版。最后,他干脆将破坏时间设为每个月的26日。 42
计算机病毒的触发机制 • (2)计数器触发:计算机病毒内部设定一个计数单元,对系统事件进行计数,判定是否激活。例如,2708病毒当系统启动次数达到32次时被激活,发起对串、并口地址的攻击。 • (3)键盘触发:当敲入某些字符时触发(如AIDS病毒,在敲如A、I、D、S时发作)、或以击键次数(如Devil’s Dance病毒在用户第2000次击键时被触发)或组合键等为激发条件(如Invader病毒在按下Ctrl+Alt+Del键时发作)。 • (4)启动触发:以系统的启动次数作为触发条件。例如Anti-Tei和Telecom病毒当系统第400次启动时被激活。 • (5)感染触发:以感染文件个数、感染序列、感染磁盘数、感染失败数作为触发条件。例如,Black Monday病毒在运行第240个染毒程序时被激活;VHP2病毒每感染8个文件就会触发系统热启动操作等。 • (6)组合条件触发:用多种条件综合使用,作为计算机病毒的触发条件。 43
计算机病毒的传播 • 计算机病毒的传播过程就是其传染过程。 • 病毒的传染大体上有如下三个途径: • 1. 文件传染 • 传播病毒的文件可以分为三类: • (1)可执行文件,即扩展名为.EXE,.PE,.SYS等的文件。 • (2)文档文件或数据文件,例如Word文档,Exel文档,Accss数据库文件。宏病毒(Macro)就感染这些文件。 • (3)Web文档,如.html文档和.htm文档。已经发现的Web病毒有HTML/Prepend和HTML/Redirect等。 44
计算机病毒的传播 • 文件传染可能采用如下一种方式: • (1)驻留(Resident)复制:复制病毒装入内存后,发现另一个系统运行的程序文件后进行传染。 • (2)非驻留(Nonrresident)复制:病毒选择磁盘上一个或多个文件,不等它们装入内存,就直接进行感染。 • 2. 引导扇区传染 • 引导扇区病毒在系统初始化时自动装入内存,然后简单地将指令指针(指令计数器的内容)修改到一个存储系统指令的新的位置。于是便以普通方式启动,而病毒已经驻留在了内存。所以,不需要用户执行磁盘上任何被感染的程序,只要有访问磁盘的操作,就可以进行复制。 • 3. 网络及电子邮件传播 • 与文件传播和引导扇区传播不同,由于数据共享和相互协作网络传播的是病毒直接通过网络传染到目标机系统。 45
计算机病毒编制的关键技术 46
引导型病毒编制的关键技术 • DOS系统的结构 DOS系统由以下4部分组成: • 引导记录(Boot Record)。用于将IO.SYS模块装入内存。 • IO.SYS(DOS的基本输入输出模块BIOS),由下面两块组成: • 系统初始化程序SYSINIT,完成初始化工作,主要包括:确定系统设备配置和内存容量;初始化串、I/O并口;计算后面模块的装入位置并将MSDOS.SYS和COMMAND.COM装入内存;设置系统参数,加载设置驱动程序。 • 标准字符和块设备驱动程,用于支持基本输入输出操作。 • MSDOS.SYS(DOS的内核),提供应用程序管理、内存管理、文件管理等。 • COMMAND.COM(DOS的外壳),是用户与操作系统的接口。 47
引导型病毒编制的关键技术 2. DOS磁盘的区域分配 • DOS格式化磁盘由4个区域组成:引导扇区(Boot Area)——硬盘含有主引导扇区、文件分配表(FAT)、根目录表(Root Directory Table,FDT)和文件数据区(Data Area)。 48
引导型病毒编制的关键技术 (1)主引导扇区,位于硬盘的0柱面0磁道1扇区,存放有主引导记录(Mian BootRecord,MBR)和4个分区表(Disk Partition Table, DPT)。下图为主引导扇区的结构。 区域 信息内容 0000H ~ 00BAH 主引导记录启动程序 008BH ~ 00D9H 主引导记录启动字符串 01DAH ~ 01BDH 空闲区 01BEH ~ 01CDH 分区1结构信息 01CEH ~ 01DDH 分区1结构信息 01DEH ~ 01FDH 分区1结构信息 01EEH ~ 01FDH 分区1结构信息 01FEH ~ 01FFH 55AAH主引导记录有效标志 MBR的作用是检查分区表是否正确以及确定哪个分区为活动分区(要将控制权交给的操作系统所在分区),并在程序结束时把该分区的启动程序(即操作系统引导扇区)调入内存加以执行。 49
引导型病毒编制的关键技术 (2)引导扇区位于逻辑0扇区处(即软盘的0面0道1扇区,硬盘的DOS分区的1扇区)。启动PC 机时,系统首先对硬件设备进行测试,成功后进入自举程序INT 19H (中断服务程序INT 19H),将引导记录调入内存的0000H~7C00H处,并把控制权交给它。这时,引导记录将检查启动盘上是否有DOS系统,即根目录中的前两个文件是否为IO.SYS和MSDOS.SYS。若是,则把文件IO.SYS读入到内存的70H~0H处,并把主控制权交给IO.SYS;否则给出非系统盘的错误信息。 50
