计算机病毒的特征_计算机病毒的预防措施_计算机病毒的危害包含4个方面(11)

其次，病毒可以在BIOS磁盘服务提供者为正常的磁盘请求提供服务后立即暗中感染软盘的引导记录，感染过程很快。因为用户最可能请求磁盘活动，出现磁盘旋转就有了合理解释。通过这种方式，病毒就会有效地传播到新的软盘而不被发现。 在病毒感染软盘之前，它必须确定磁盘是否已经被感染。大多数时候病毒会把目标软引导记录装入内存并与它自己比较，如果病毒确定目标软盘没有被感染过，就会进行感染，并把原来的软引导记录保存到软盘中的另外一个扇区。这样如果用户要从这个磁盘引导，病毒就可以正确地启动驻留在这个磁盘上的操作系统。 当病毒把一个被感染的自举例程插入软引导记录，并且把原来的软引导记录的拷贝存储在磁盘中的某个地方时，它可能覆盖一些数据。许多病毒会覆盖根目录结构的最后一个扇区。如果这个扇区正在使用，存储在这个扇区的任何文件目录条目都会被破坏。其他引导病毒把原来软引导记录的一份拷贝存储在软盘的最后。如果软盘满了，病毒就会覆盖某个文件的一个扇区，从而至少损坏512B的数据。不幸的是在病毒覆盖了软盘上某个扇区后，使用传统的磁盘工具无法恢复该扇区的内容。 2 主引导记录病毒 几乎所有的软引导记录病毒都会感染硬盘的主引导记录（MBR）或硬盘的活动分区引导记录。

分区引导记录病毒是另一种形式的软引导记录病毒，它驻留在逻辑硬盘分区的引导记录中。主引导记录病毒也像软引导记录病毒一样，在被激活前，它要在引导时被装入并执行。 在硬盘引导期间，ROM BIOS引导程序从连接到计算机的基本硬盘中装入引导程序。然后验证主引导区在扇区的最后是否有正确的特征标记，如果正确的话它就把控制转给主引导记录的自举程序。在一个已感染的主引导记录中，病毒感染的自举例程会代替原来的自举例程。在ROM BIOS 引导程序把控制传送给主引导记录自举程序的时候，病毒就得到控制权，一般的主引导记录病毒把它自己安装为内存驻留服务提供者，就像软引导记录病毒一样。 病毒把第一个物理硬盘的主引导区装入内存，然后它检查主引导记录的自举例程是否已经感染，如果已被感染，病毒就会终止感染过程，开始引导；如果未被感染，它就会更改主引导扇区，覆盖已有的主引导记录。更改的主引导记录通常包含带毒的自举例程以及原来的主引导记录的分区表。一般的主引导记录病毒也需要把原来主引导扇区的一份拷贝保存到硬盘的某个地方。以后在计算机从已感染的硬盘引导并且病毒把它自己安装为驻留的服务提供者之后，病毒就要装入原来的主引导记录并把控制传送给这个主引导记录的自举程序。

然后，原来的主引导记录的自举程序装入活动分区的分区引导记录，进行正常引导。对于大多数硬盘来说，磁盘分区软件（FDISK）在硬盘主引导记录之后会留下一个未用磁道的扇区。 病毒选择其中的一个扇区存放原来的主引导记录，因为这些扇区在大多数系统中是不使用的。主引导记录病毒把原来的主引导记录存放在硬盘的第一磁道的某个地方，因为病毒没有检查就假设这部分空间可以用于它自己的目标。不幸的是，许多不同的磁盘管理和访问控制包都把它们自己的自举程序和数据存放在这一区域。如果病毒盲目地把原来主引导记录的一份拷贝保存到这里，它就可能会覆盖磁盘驱动器，在以后的引导中引起系统崩溃。 3 火炬病毒 火炬病毒是一种典型的系统引导病毒，它对硬盘和软盘的引导扇区进行传染，进而占用整个扇区。 当病毒发作时，屏幕上出现5个火炬，使主引导扇区信息丢失，引起硬盘瘫痪，系统完全处于病毒的控制之中，硬盘数据也被破坏。 当使用含有火炬病毒的软盘或硬盘引导系统时，驻留在引导扇区中的病毒程序被系统ROMBIOS加载到0：7C00处，并获得对系统的控制权。病毒首先使内存总量减少1KB，并计算出系统内存高端的段地址，然后把INT 13H中断入口设在病毒程序段偏移0013H处。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-27948-11.html