65磁盘杀手病毒 磁盘杀手病毒是系统引导型病毒 感染硬盘时把病毒程序存放在引导扇区 而不是主引导扇区。 病毒发作时,可以删除磁盘上的所有数 据,磁盘杀手由此而来
6.5 磁盘杀手病毒 磁盘杀手病毒是系统引导型病毒 感染硬盘时把病毒程序存放在引导扇区 而不是主引导扇区。 病毒发作时,可以删除磁盘上的所有数 据,磁盘杀手由此而来
6.5.1病毒的工作原理 磁盘杀手病毒由三部分组成,即引导模块、传染 模块、破坏模块。 引导模块驻留在引导扇区中,另外还有一部分与病毒程序 的其他部分一起存放在磁盘上标记为坏簇的扇区中。 当用带毒磁盘引导系统时,引导扇区中的病毒程序首先进 入内存中,获得系统的控制权。 病毒程序提取系统INT13H中断向量,并使系统内存总量减 少8K,以保护驻留内存高端的病毒程序。 随后计算出内存高端段地址,将整个病毒程序移至内存高 端 接着修改时钟中断INT8H使之计数,用作破坏模块的判断 条件 然后修改INT3H中断向量指针,使之指向病毒程序的传染 部分,完成病毒程序的激活, 最后执行正常的DOS引导
6.5.1病毒的工作原理 磁盘杀手病毒由三部分组成,即引导模块、传染 模块、破坏模块。 引导模块驻留在引导扇区中,另外还有一部分与病毒程序 的其他部分一起存放在磁盘上标记为坏簇的扇区中。 当用带毒磁盘引导系统时,引导扇区中的病毒程序首先进 入内存中,获得系统的控制权。 病毒程序提取系统INT13H中断向量,并使系统内存总量减 少8K,以保护驻留内存高端的病毒程序。 随后计算出内存高端段地址,将整个病毒程序移至内存高 端 接着修改时钟中断INT8H使之计数,用作破坏模块的判断 条件 然后修改INT13H中断向量指针,使之指向病毒程序的传染 部分,完成病毒程序的激活, 最后执行正常的DOS引导
对硬盘传染条件是读12扇区0道且不是0 头,将硬盘的引导扇区内容调入内存中 检查其特定位置上是否有病毒标记,若 有就退出传染模块,转向正常的INT3H 中断服务; 否则就将病毒程序的引导部分写到引导 扇区中,而把引导程序的另一部分与病 毒程序的其他部分以及原引导扇区中的 内容写到隐含扇区的最后5个扇区
对硬盘传染条件是读12扇区 0道且不是 0 头,将硬盘的引导扇区内容调入内存中, 检查其特定位置上是否有病毒标记,若 有就退出传染模块,转向正常的INT13H 中断服务; 否则就将病毒程序的引导部分写到引导 扇区中,而把引导程序的另一部分与病 毒程序的其他部分以及原引导扇区中的 内容写到隐含扇区的最后 5个扇区
对软盘传染时,首先检查是否有病毒标记,若 没有则将病毒程序的引导部分写到引导扇区中, 而把引导程序的另一部分与病毒程序的其他部 分共4个扇区和1个扇区的原引导扇区中的内容 写到软盘中的3个连续空簇中,并标记为坏簇 若软盘中已有病毒,则判断与上一次读盘操作 的驱动器号、磁头号、磁道号是否相同,如果 不同就执行正常的INT13H中断服务。 否则再判断[034F单元值减后是否为0,若不 为0则执行正常的INT13H中断服务, 若为0就要置累计触发条件,然后再执行正常的 INT13H中断服务
对软盘传染时,首先检查是否有病毒标记,若 没有则将病毒程序的引导部分写到引导扇区中, 而把引导程序的另一部分与病毒程序的其他部 分共 4个扇区和 1个扇区的原引导扇区中的内容 写到软盘中的 3个连续空簇中,并标记为坏簇 若软盘中已有病毒,则判断与上一次读盘操作 的驱动器号、磁头号、磁道号是否相同,如果 不同就执行正常的INT13H 中断服务。 否则再判断[034F]单元值减 1后是否为 0,若不 为 0则执行正常的INT13H中断服务, 若为 0就要置累计触发条件,然后再执行正常的 INT13H中断服务
病毒程序破坏模块的作用是当病毒程序 记数已达48小时时,执行类似于磁盘格 式化的数据销毁功能,使得磁盘无法使 用,只有在重新格式化后,才能使用, 但原来的信息则全部丧失
病毒程序破坏模块的作用是当病毒程序 记数已达48小时时,执行类似于磁盘格 式化的数据销毁功能,使得磁盘无法使 用,只有在重新格式化后,才能使用, 但原来的信息则全部丧失