引导区病毒

合集下载

主引导扇区中了病毒

硬盘主引导扇区中了病毒，如何进行处理前不久遇到一例硬盘主引导扇区中了病毒，其问题出现情况如下：1、开机加电自检，检测到硬盘那一步时，检测时间比平时稍长。

2、主机自检完成后，启动操作系统，出现“starting ……”，一直等都无反应。

3、用软盘或光盘启动也只能启动到“starting ……”，视具体启动盘，出现提示也不一样，但都不能正常启动操作系统。

4、在BIOS设置中，将此盘设为“NONE”，才能用（DOS、95、98)启动软盘或启动光盘启动操作系统。

但桌面上“我的电脑”中没有此盘；如挂上双硬盘，将故障硬盘设为“NONE”，用NT启动，启动后亦看不到此盘（因为正常情况下，即使BIOS设置中某硬盘设为“NONE”，NT启动后，“我的电脑”中也能正常显示该硬盘）；如用LINUX安装光盘启动安装，则能找到该硬盘，但提示此硬盘出错，不能进行分区。

5、低极格式化此盘，一般时间至少都需要10个小时左右才能格式完，但有的低格显示一切正常，如果重新启动，在BIOS设置中设有此盘，用软盘或光盘启动，也不能正常启动，只能到“starting……”处。

（如果你的硬盘故障与前四项相同，请勿执行BIOS设置中的低级格式化，直接用以下的解决方法，这样硬盘上的数据都不会丢失）从此现象看，应该是硬盘主引导扇区中了病毒，即使用杀病毒软件的功能，如KV300，他的软件中有一功能，能将硬盘的主引导扇区备份写回硬盘。

但要想启动机子，BIOS中只能将此盘设为“NONE”，而DOS、95、98启动后，因为没有此硬盘，杀毒软件也找不到此盘，所以想到此款病毒于杀病毒软件来说，也只能说再见了。

解决方法是：1、用一台能正常启动的机子制作启动软盘一张，并将c:\windows\command\debug.exe文件拷贝到启动软盘。

2、准备一张空白的已格式化的软盘。

3、用能正常启动的机子启动，主板自检完后，启动操作系统之前，按F8键进入DOS模式，将软盘放入软驱。

计算机病毒有哪些

计算机病毒有哪些计算机病毒是指一种可以通过计算机网络或者移动存储设备传播并且在计算机系统内部实施恶意活动的软件程序。

计算机病毒的种类繁多，从最早期的引导扇区病毒到现在的勒索软件都属于计算机病毒范畴。

以下是常见的计算机病毒种类：1. 引导扇区病毒引导扇区病毒是最早期的计算机病毒之一，它会感染计算机硬盘的引导扇区，并且在计算机启动时运行，从而使病毒得以控制计算机系统。

这种病毒主要通过移动存储设备感染计算机系统，例如U盘、硬盘等。

2. 文件感染病毒文件感染病毒是一种会感染可执行文件的计算机病毒，这种病毒会感染操作系统或应用程序中的可执行文件（如.exe 文件），并且在这些文件运行时进行破坏性操作。

这种病毒往往存在于恶意软件中，如木马、后门等。

3. 网络蠕虫病毒网络蠕虫病毒是一种依靠互联网来传播的自我复制程序，可以在不需要用户干预的情况下，通过利用漏洞或者弱密码来感染计算机系统。

这种病毒可在计算机系统中繁殖，从而导致系统崩溃或者受到破坏。

4. 木马病毒木马病毒是伪装成有用工具的计算机程序，从而欺骗用户在自己的计算机上执行它。

这种病毒会悄悄地获取用户计算机的控制权，从而实施破坏性操作，如偷取用户个人信息、修改用户文件或者在计算机上安装其他恶意软件等。

5. 后门病毒后门病毒是一种利用漏洞或者弱密码来感染计算机系统的恶意程序，它在感染之后会在计算机上留下一个隐蔽的后门，并且等待黑客远程控制进入被感染的计算机。

这种病毒可以使黑客长期监控被感染的计算机，获取用户数据、密码等信息。

6. 勒索软件病毒勒索软件病毒是一种会对用户计算机进行加密的恶意程序，从而使用户无法访问自己的计算机文件。

这种病毒会弹出一条勒索信息，要求用户支付一定数额的赎金才能够解密文件。

这种病毒广泛用于网络犯罪活动中。

总之，计算机病毒的种类繁多，无论是引导扇区病毒、文件感染病毒还是网络蠕虫病毒等都会带来不同程度的危害。

因此，用户需要保持警惕，增强自己的安全意识，及时更新自己的防病毒软件，从而保障自己的计算机系统安全。

计算机病毒有哪些举例

计算机病毒有哪些举例计算机发展史上出现过哪些计算机病毒呢?小编来为你举例!下面由店铺给你做出详细的计算机病毒举例介绍!希望对你有帮助!计算机病毒举例一：引导区电脑病毒90年代中期，最为流行的电脑病毒是引导区病毒，主要通过软盘在16位元磁盘操作系统(DOS)环境下传播。

引导区病毒会感染软盘内的引导区及硬盘，而且也能够感染用户硬盘内的主引导区(MBR)。

一但电脑中毒，每一个经受感染电脑读取过的软盘都会受到感染。

引导区电脑病毒是如此传播：隐藏在磁盘内，在系统文件启动以前电脑病毒已驻留在内存内。

这样一来，电脑病毒就可完全控制DOS 中断功能，以便进行病毒传播和破坏活动。

那些设计在DOS或Windows3.1上执行的引导区病毒是不能够在新的电脑操作系统上传播，所以这类的电脑病毒已经比较罕见了。

文件型电脑病毒文件型电脑病毒，又称寄生病毒，通常感染执行文件(.EXE)，但是也有些会感染其它可执行文件，如DLL,SCR等等...每次执行受感染的文件时，电脑病毒便会发作：电脑病毒会将自己复制到其他可执行文件，并且继续执行原有的程序，以免被用户所察觉。

复合型电脑病毒复合型电脑病毒具有引导区病毒和文件型病毒的双重特点。

宏病毒宏病毒专门针对特定的应用软件，可感染依附于某些应用软件内的宏指令，它可以很容易透过电子邮件附件、软盘、文件下载和群组软件等多种方式进行传播如MicrosoftWord和Excel。

宏病毒采用程序语言撰写，例如VisualBasic或CorelDraw，而这些又是易于掌握的程序语言。

宏病毒最先在1995年被发现，在不久后已成为最普遍的电脑病毒。

特洛伊/特洛伊木马特洛伊或特洛伊木马是一个看似正当的程序，但事实上当执行时会进行一些恶性及不正当的活动。

特洛伊可用作黑客工具去窃取用户的密码资料或破坏硬盘内的程序或数据。

与电脑病毒的分别是特洛伊不会复制自己。

它的传播技俩通常是诱骗电脑用户把特洛伊木马植入电脑内，例如通过电子邮件上的游戏附件等。

引导型病毒清除方法

1、主要特征：桌面上出现几个删除不了的图标，其通过右键无法删除，使用工具删除清理后重复出现。

2、隐含特征：这是一个引导型病毒，病毒会在感染初期就修改PC系统的硬盘主引导模块[主MBR]，这样它就先于Windows系统启动而进入内存，病毒有一部分存在于硬盘的空闲扇区中，当引导程序激活它以后，用户即使重新安装系统也会在第一次启动时就被重复感染。

3、感染机系统在空闲时进程中多出一些未知的程序，并且伪装成与系统类似的名称比如wupmgr.exe，svchost.exe[不好分别]。

4、感染机系统各分区根目录下，全部的目录及程序可能都被隐藏并出现伪装的替代同名程序，辨别方法是资源管理器显示详细信息，其目录图标伪装的程序，分类不是文件夹。

清除建议：
1、应首先重置硬盘的主引导记录MBR，使用光盘，U盘或移动硬盘启动，利用其所带磁盘工具，将主机的硬盘MBR还原为标准MBR。

还原完不要启机进入系统防止重复感染。

2、立刻重装系统，或者重G系统，如果有还原备份的话，可以通过光盘、U盘、移动硬盘运行Ghost主程序来还原主机系统。

3、建议在WinPE工具环境下，整理主机各分区根目录，辨别删除病毒体伪装的文件，特征是其文件的生成时间都是同一时刻[也就是此机被感染时间]，大小相同，图标为文件夹类似黄SE，名称为原目录名同名。

4、正确重新做好系统后，进入桌面不要查看我的电脑，或者资源管理器中的任何文件[病毒体可能在其它分区中易被激活]，请在第一时间配置好上网程序，下载安装杀毒软件，并且打全所有系统漏洞补丁。

然后让杀毒软件查杀各分区，确保病毒被清除。

常见的计算机病毒有什么种类

常见的计算机病毒有什么种类从第一个病毒出世以来，究竟世界上有多少种病毒，说法不一。

无论多少种，病毒的数量仍在不断增加。

据国外统计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4至6种/月的速度递增。

下面就让店铺给大家说说常见的计算机病毒有哪些种类吧。

常见的计算机病毒种类1.按照计算机病毒攻击的系统分类(1)攻击DOS系统的病毒。

这类病毒出现最早、最多，变种也最多，目前我国出现的计算机病毒基本上都是这类病毒，此类病毒占病毒总数的99%。

(2)攻击Windows系统的病毒。

由于Windows的图形用户界面(GUI)和多任务操作系统深受用户的欢迎，Windows正逐渐取代DOS，从而成为病毒攻击的主要对象。

目前发现的首例破坏计算机硬件的CIH病毒就是一个Windows 95/98病毒。

(3)攻击UNIX系统的病毒。

当前，UNIX系统应用非常广泛，并且许多大型的操作系统均采用UNIX作为其主要的操作系统，所以UNIX 病毒的出现，对人类的信息处理也是一个严重的威胁。

(4)攻击OS/2系统的病毒。

世界上已经发现第一个攻击OS/2系统的病毒，它虽然简单，但也是一个不祥之兆。

2.按照病毒的攻击机型分类(1)攻击微型计算机的病毒。

这是世界上传染是最为广泛的一种病毒。

(2)攻击小型机的计算机病毒。

小型机的应用范围是极为广泛的，它既可以作为网络的一个节点机，也可以作为小的计算机网络的计算机网络的主机。

起初，人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰，但自1988年11月份Internet 网络受到worm程序的攻击后，使得人们认识到小型机也同样不能免遭计算机病毒的攻击。

(3)攻击工作站的计算机病毒。

近几年，计算机工作站有了较大的进展，并且应用范围也有了较大的发展，所以我们不难想象，攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。

3.按照计算机病毒的链结方式分类由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击，计算机病毒所攻击的对象是计算机系统可执行的部分。

电脑病毒种类有哪些（2）

电脑病毒种类有哪些（2）电脑病毒种类有哪些对于以上三种病毒的分类，实际上可以归纳为两大类：一类是引导区型传染的计算机病毒;另一类是可执行文件型传染的计算机病毒。

6.按照计算机病毒激活的时间分类按照计算机病毒激活时间可分为定时的和随机的。

定时病毒仅在某一特定时间才发作，而随机病毒一般不是由时钟来激活的。

7.按照传播媒介分类按照计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。

(1)单机病毒单机病毒的载体是磁盘，常见的是病毒从软盘传入硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。

(2)网络病毒网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。

8.按照寄生方式和传染途径分类人们习惯将计算机病毒按寄生方式和传染途径来分类。

计算机病毒按其寄生方式大致可分为两类，一是引导型病毒，二是文件型病毒;它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。

混合型病毒集引导型和文件型病毒特性于一体。

引导型病毒会去改写(即一般所说的“感染”)磁盘上的引导扇区(BOOT SECTOR)的内容，软盘或硬盘都有可能感染病毒。

再不然就是改写硬盘上的分区表(FAT)。

如果用已感染病毒的软盘来启动的话，则会感染硬盘。

引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。

引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理地址为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序被执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中伺机传染、发作。

有的病毒会潜伏一段时间，等到它所设置的日期时才发作。

有的则会在发作时在屏幕上显示一些带有“宣示”或“警告”意味的信息。

病毒处理办法.

木马查杀方法
根据木马的启动运行原理，可先利用msconfig关闭启动项中的可疑程序，重启后上网升级病毒软件或下载补丁程序和专杀工具。
木马手工查杀方法
1、利用任务管理器查找可疑进程，尝试结束 2、“系统配置实用程序（msconfig）”中的 “启动”项和“服务”项中找可疑启动项删除，或在“注册表编辑器”中的 HKEY_CURRENT_USER\Software\Microsof t\Windows\CurrentVersion\Run项和 HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion\Run项中找可疑启动项删除。
文件型病毒查杀方法
利用干净的（确保无毒）软盘或光盘引导机器，利用dos版的杀毒软件进行查杀。杀毒后可能会导致某些程序无法运行甚至无法进入系统，建议杀毒前重要数据先备份，出现这类情况可覆盖安装（9x、me或应用程序）或修复安装（2k或xp）尝试修复，系统文件可用sfc修复。如果无效建议格式化重装。
病毒处理办法
引导型病毒现象与危害
1、隐藏于硬盘或软盘的引导区中，当计算机从感染了此类病毒的磁盘引导时，病毒驻留到内存中，之后向其他所有可写磁盘复制传播 2、发作时可导致系统不引导，分区表被破坏等现象。"
引导型病毒查杀方法
利用干净的（确保无毒）软盘或光盘引导机器，利用dos版的杀毒软件进行查杀。杀毒后有可能导致硬盘不引导甚至分区丢失等现象，因此建议杀毒前，备份重要数据
文件型病毒手动查杀
1、如确认为染毒文件且文件无用最好在dos下直接删除 2、如无把握建议最好用杀毒软件查杀"
蠕虫病毒现象与危害
1、通过网络复制，通过邮件系统自动发送自己的复制品。 2、传播速度极快，会造成网络拥挤瘫痪 3、主机运行速度变慢或某些系统功能异常，死机重启等异常。

引导型病毒的原理与FDISKMBR的正确使用

② 转移型（保留型）：这类病毒在传染磁盘引导区之前保留了原引导记录，并转移到磁盘其它扇区，以备将来病毒初始化模块完成后仍由原引导记录完成系统正常引导。
转移型病毒的判定：若根据“覆盖型病毒的判定”中内容不能判断为覆盖型病毒，则可认为是转移型病毒。
二、引导型病毒的驻留
为避免被覆盖，引导型病毒有以下几种驻留方法。
另外还需要注意的是：有些病毒很狡猾，能够防止自已被覆盖，比如早期的Joshi病毒就能截留中断13h，暗中阻止对主引导扇区的更新。当我们用 FDSIK/MBR 命令以后，看起来完成了，但实际上并没有成功。更有甚者，如果程序要访问含有主引导记录的扇区，joshi会将截取这一要求将其导向磁盘其它含有原来主引导记录备份的扇区。还有一些磁盘压缩程序也需要更改主引导记录。使用 FDISK/MBR 将去掉这些程序所作的改动而使它们失效，因为当压缩程序失败后，存在压缩盘上的文件就无法存取了。如果已知硬盘上的其他程序更改了主引导记录就不要使用此开关。
② 转移型病毒的清除
对付转移型引导病毒如果用 FDISK/MBR 命令来清除却是“助纣为虐”。因为感染转移型病毒的硬盘第一物理扇区，通常已无分区表信息及检验标志，全为病毒代码，在执行 FDISK/MBR 后，硬盘启动的源头被覆盖，系统改正了系统引导程序却没有同时搬移回正确的分区表，硬盘将立即丧失启动能力。所以正确的作法是：使用杀毒软件来清除；也可以在硬盘0磁道0磁头的第2—17扇区（系统的隐含扇区，是引导型病毒的主要栖息地），查找扇区最后2个字节为55AA的扇区，即可认为是原主引导记录，将偏移量01BE—01FF信息用手工方法（例如：NU DiskEdit ）写回原相应位置，最后再使用此参数予以清除。
一、引导型病毒的存贮形式
软盘的引导区在物理第一扇式，也称 BOOT 区，硬盘的引导区则分两部分，一部分是物理第一扇的主引导区，另一部分是分区（对应逻辑盘）的引导区（ BOOT 区）。引导型病毒就是通过占据这些位置，在系统引导时获得控制权的。其存贮可分为以下两种。

反病毒技巧

当系统感染一种已知病毒时，KILL和SCAN 发现内存中有病毒后，一般是拒绝继续执行，并要求用干净的盘重新启动。KV300发现类似的警告信息，但提供给用户一个选择的机会，以确定是否继续执行，很显然，若用户选择继续，所带来的后果是不可预期的。
当系统感染一种未知病毒时，三种软件在未发现内存中有已知病毒后，都假设系统中无病毒，忠实地执行检测或清除功能。事实上，这个未知病毒可能会在检测时传染盘中所有的可执行文件。
MOV DX,0080 ;
INT 13 ;读入C:的分区表到0200,以便下面比较
JB 023E ;失败跳023E
XOR SI,SI ;清SI
CLD ;清方向标志以便比较
LODSW ;载入一个WORD到AX
CMP AX,[BX] ;比较有无病毒存在..E9AC
JNZ 0287 ;没有则跳0287传染
.
XOR AX,AX ;清除AX
MOV DS,AX; ;让DS=0000
CLI ;清I标志积存器
MOV SS,AX ;把堆栈设为0000:7C00也就是开机
MOV AX,7C00 ;后载入引导分区表的地址,目前地址
MOV SP,AX ;开机时为0000:7CB6
STI ;设I标志积存器
DB 00 ;病毒标计
DW 00F5 ;此为搬到高位址后,远程跳转指令
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX
DB 02
DW 0003 ;此为软盘识别标记,硬盘为0007
DW EC59 ;
DW F000 ;INT 13H的原入口
.
.
.
.
先就简单的说说病毒的感染和传播方法。

信息安全工程师综合知识真题考点：常见的计算机病毒类型

信息安全工程师综合知识真题考点：常见的计算机病毒类型常见的计算机病毒类型有：引导区病毒、宏病毒、多态病毒、隐藏病毒等。

1、引导区病毒：通过感染磁盘引起扇区进行传播的病毒，常见的有磁盘杀手、AntiExe
2、宏病毒：感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件
3、多态病毒：是一种具有变异能力的计算机病毒，每次感染新的对象后，通过更换加密算法，改变其存在形式，使其很难被反病毒软件检测出来，一般需要采用启发式分析方法来发现。

多态病毒有三个主要组成部分：杂乱的病毒体、解密例程（decryption routine）、变化引擎（mutation engine）。

4、隐藏病毒：将自身的存在形式进行隐藏，使得操作系统和反病毒软件不能发现。

隐蔽病毒使用的技术主要包括：隐藏文件的日期、时间的变化;隐藏文件大小的变化;病毒加密。

注：详见《信息安全工程师教程》（第2版）272-274页。

考点相关真题
计算机病毒是一组具有自我复制及传播能力的程序代码。

常见的计算机病毒类型包括引导型病毒、病毒、多态病毒、隐蔽病毒等。

磁盘杀手病毒属于（）。

A．引导型病毒
B．宏病毒
C．多态病毒
D．隐蔽病毒
参考答案：A。

[引导区病毒]引导区病毒症状是什么

[引导区病毒]引导区病毒症状是什么引导区病毒症状介绍一：软盘读写出现错误、无故读取软驱等。

3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，由于该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统也无法将彻底清除该病毒。

犹如“鬼影”一般“阴魂不散”，所以称为“鬼影”病毒。

该病毒也因此成为国内首个“引导区”下载者病毒。

引导区病毒症状介绍二：1. 生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。

2. 绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。

即使手动删除了病毒程序，下次启动这些软件时，还会报错。

3. 不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。

4. 禁用windows自动更新和windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。

为该病毒的下一步破坏打开方便之门。

5. 破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复。

6. 当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。

假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。

7. 在本地硬盘、u盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。

这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。

8. 病毒程序的最终目的是下载更多木马、后门程序。

用户最后受损失的情况取决于这些木马和后门程序。

9.病毒运行后，鼠标右击菜单以及下拉菜单选项，会在1到两秒钟时间后，自动选择最后一个选项，不过可以使用快捷方式组合。

相关阅读：引导区病毒清除方法1.找一张“干净”的启动盘(没有这个引导区病毒的盘)，启动你的计算机，一般安装操作系统的时候都会提示您制作启动盘。

如果手头没有启动盘或者您不能保证启动盘是否是“干净”的可以在别的计算机上做一张干净的可引导盘，此引导盘可以在windows 95/98/me系统上通过“添加/删除程序”进行制作，但要注意的是，制作软盘的操作系统须所使用的操作系统相同，也就是说如果系统是windows me的话，是不能使用一张windows 98的启动盘进行下述操作的。

[引导区病毒]引导区病毒怎么样清理

[引导区病毒]引导区病毒怎么样清理引导区病毒清理方法一：yx(引导区)病毒的清除方法：要看清楚该文件的感染位置。

如果病毒是在suhdlog.dat或suhdlog.bak文件中，那么直接删除即可。

其实，这是硬盘引导区先染上了引导区病毒，以后在安装windows系统时，没有先查杀病毒，直接就安装了windows系统。

所以，windows先将引导区做了一个文件形式的备份，文件suhdlog.dat就是其备份，该文件以隐含的形式存放在windows系统根目录下，由于该引导型病毒存在文件中，没有作用，所以可以直接删除。

如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上，就可以借助本地硬盘上的反病毒软件直接进行查杀，或者干脆把移动存储设备上的文件备份到硬盘上，然后重新格式化掉移动存储设备，再把文件复制回去。

如果病毒确实是在硬盘的引导区上，也不用怕，这类病毒的清除方法很简单，针对不同的操作系统有不同的清除方法，一般可以不依靠杀毒软件。

不过在清除之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文windows、linux等。

windows 95/98/me系统上的清除方法：1.找一张“干净”的启动盘(没有这个引导区病毒的盘)，启动你的计算机，一般安装操作系统的时候都会提示您制作启动盘。

如果您手头没有启动盘或者您不能保证启动盘是否是“干净”的，您可以在别的计算机上做一张干净的可引导盘，此引导盘可以在windows 95/98/me系统上通过“添加/删除程序”进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同，也就是说如果你的系统是windows me的话，你是不能使用一张windows 98的启动盘进行下述操作的。

2.用这张软盘引导启动带毒的计算机，然后运行以下命令：a:\fdisk /mbr [回车]a:\sys a: c: [回车]然后重新启动计算机就可以了。

引导型病毒原理.pptx

3 病毒在启动时获得控制权
MBR和分区表将病毒的引导程序加载入内存
运行病毒引导程序
病毒驻留内存
原DOS引导程序执行
并加载 DOS系统
2020/11/22
6
Thank You

引导型病毒
引导型病毒
1
引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒
2
20世纪90年代中期之前，引导型病毒一直是最流行的病毒类型。人们的传统认识——windows下不会再有引导型病毒
3
2020/11/22
2010年3月由金山安全反病毒专家发现了windows系统下引导型病毒“鬼影”
2
PC引导流程
操作系统 ROM：永久保存数据 RAM：关机后数据全部丢失 Boot：引导程序 BIOS：基本输入输出程序
2020/11/22
硬盘
计算机存储器
内存
3
PC引导流程
开机
1
2020/11/22
POST
2
引导区分区表检查
3
发现操作系统执行引导程序
4
详见PC启动流程
4
引导区病毒感染流程
1 正常的引导过程
MBR和分区表装载 DOS引导区
运行DOS 引导程序
加载IO.sys MSDOS.sys
加载DOS
2 用被感染的软盘启动
引导型病毒从软盘加载到内存
2020/11/22
寻找 DOS 引导区的位置
将 DOS 引导区移动到别的位置
病毒将自己写入原DOS引导区的位置
5
引导区病毒感染流程

利用 DiskGenius重建MBR清除引导区病毒

利用DiskGenius重建MBR清除引导区病毒
DiskGenius是一款磁盘分区及数据恢复软件。

支持对GPT磁盘(使用GUID分区表)的分区操作。

除具备基本的分区建立、删除、格式化等磁盘管理功能外，还提供了强大的已丢失分区搜索功能、误删除文件恢复、误格式化及分区被破坏后的文件恢复功能、分区镜像备份与还原功能、分区复制、硬盘复制功能、快速分区功能、整数分区功能、分区表错误检查与修复功能、坏道检测与修复功能。

提供基于磁盘扇区的文件读写功能。

支持VMware、Virtual PC、VirtualBox虚拟硬盘格式。

支持IDE、SCSI、SATA等各种类型的硬盘。

支持U 盘、USB硬盘、存储卡(闪存卡)。

支持FAT12/FAT16/FAT32/NTFS/EXT3文件系统。

下载地址：/content/3928.html
具体操作步骤：
运行DiskGenius程序，点击“硬盘- 重建主引导记录(重建MBR)”菜单项，程序弹出下列提示：
点击“是”按钮后，程序将用软件自带的MBR重建主引导记录。

MBR重建主引导记录后，隐藏在主引导区的病毒就会被彻底清除了。

注意：软件自带的MBR是Windows XP 系统的。

非Windows XP 重建MBR后，需要如
果不能启动系统可以用NTBootAutofix这个软件来修复。

恢复过程需要光盘或U盘启动PE系统。

东华大学计算机病毒实验一引导型病毒实验报告【范本模板】

实验一引导型病毒实验1. 实验目的通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染染毒文件的方法，提高汇编语言的使用能力。

2. 实验内容本实验需要完成的内容如下：引导阶段病毒由软盘感染硬盘实验。

通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制；阅读和分析病毒的代码。

DOS运行时病毒由硬盘感染软盘的实现.通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制;阅读和分析病毒的代码。

3。

实验环境VMWare Workstation 5。

5.3MS—DOS 7。

104。

实验步骤与结果第一步：1、打开VMware Workstation,新建虚拟机，过程如下：然后点next，点NEXT, 硬盘大小可自行分配，大概1G左右就ok，一直到完成为止。

第二步：1．安装MYDOS2．启动虚拟机电源，自动从虚拟软驱进入安装过程，一路点NEXT，AGREE到为虚拟机系统生成一块fat32的硬盘区，点击，然后reboot。

3．再次进入安装引导过程，一路点NEXT，AGREE到重写MBR 选yes,而后选择安装目录C：\dos71目录。

在选择DOS commands only安装.并取消DOS add —on的安装复选项。

然后一路点NEXT，AGREE。

选择enable umb memory在下一个页面里选择load both cd/dvd 和IDE/ATAPI第三步：步骤如课本实验一1．运行虚拟机，检查目前虚拟硬盘是否含有病毒。

2．将virus。

img加入软驱，运行虚拟机：3、删除虚拟软盘，通过硬盘引导按任意键进入DOS系统4、通过命令format A：/q 快速格式化软盘。

5、软驱中加入empty。

img引导。

如下:5. 病毒代码分析i。

传染模块主要代码及传染过程说明；inc cx ;cx此时为1，为2mov ds:[si+offset reg_cx],cxmov ax，0301h ；写入一个扇区mov dx，0080h ；写入硬盘1的0面int 13h ;开始写入jb boot_dos ;不成功转到boot_dosmov cl, 21h ;准备搬移33个字mov di，01beh ;从内存高端的03beh搬移到mov si，03beh ；内存高端的01beh，此处正是病毒程序的驻留区rep movsw ；开始搬移mov ax，0301h ；准备向硬盘写入一个扇区xor bx, bxinc cx ；cx置1int 13h ；写入物理硬盘0面0道1扇区call near ptr install ；安装病毒的int 13hmov dx，0080h ；读硬盘0headint 13h ；开始读取//*** 读取正常的引导扇区,以备安装病毒的int 13h 后正常启动call near ptr install传染过程说明：先判断机器从哪里启动，如是从硬盘启动，直接安装病毒到int 13h,通过int 13h 感染软盘。

引导型病毒试验

实验二引导型病毒试验专业班级学号姓名实验学时实验类型实验地点实验时间指导老师高虎实验成绩年月日一实验目的通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染染毒文件的方法，提高汇编语言的使用能力。

二实验内容1.引导阶段病毒由软盘感染硬盘实验。

通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制；阅读和分析病毒的代码。

2.DOS 运行时病毒由硬盘感染软盘的实现。

通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制；阅读和分析病毒的代码。

三预备知识本实验需要如下的预备知识：1. 引导病毒的基础知识，包括引导病毒的概念，引导扇区的位置和结构等。

2. BIOS 常用中断的相关知识，包括对磁盘的读写和屏幕字符的打印等。

汇编语言基础，能独立阅读和分析汇编代码，掌握常用的汇编指令。

四实验环境VMWare Workstation 5.5.3 或者8.0 均可MS.DOS 7.10实验素材：experiments 目录下的bootvirus 目录。

2.4 实验步骤第一步：环境安装安装虚拟机VMWare，在虚拟机环境内安装MS-DOS 7.10 环境。

安装步骤参考附录。

第二步：软盘感染硬盘（1）运行虚拟机，检查目前虚拟硬盘是否含有病毒。

（2）复制含有病毒的虚拟软盘virus.img（3）将含有病毒的软盘插入虚拟机引导，可以看到闪动的字符*^_^*，。

第三步：验证硬盘已经被感染(1) 取出虚拟软盘，通过硬盘引导，再次出现了病毒的画面。

（2）按任意键后正常引导了DOS 系统，如图2.5 所示。

此时，硬盘已经被感染。

第四步：硬盘感染软盘(1)下载empty.img，并且将它插入虚拟机，启动计算机，由于该盘为空，但该显示一瞬即逝，很快又变成了病毒的画面。

（2）取出虚拟软盘，从硬盘启动，通过命令formatA:q 快速格式化软盘。

可能提示出错，这时只要按下R 键即可.五实验思考a) 如何检测一个硬盘是否感染了引导病毒？答：主要是基于下列四种方法:比较被检测对象与原始备份的比较法;利用病毒特征代码串进行查找的搜索法;搜索病毒体内特定位置的特征字识别法;运用反汇编技术分析被检测对象，确证是否为病毒的分析法。

引导型病毒

引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。

引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。

引导区病毒的传播方式：下面主要说一下目前传播最为广泛的引导区病毒WYX。

这个病毒传播的唯一途径就是使用感染有该病毒的启动盘（包含可启动的光盘）启动计算机。

如果只是读取感染有引导区病毒的软盘或者光盘上的文件是不会被感染。

如果你的机器已经感染该病毒，并且病毒驻留了内存，则你的软盘如果没有写保护的话很容易被感染。

WYX病毒的清除：当你的杀毒软件查出了机器感染了WYX的时候请不要惊慌，先要看清楚该文件的感染位置。

如果病毒是在SUHDLOG.DAT或SUHDLOG.BAK文件中，那么直接删除即可。

其实，这是硬盘引导区先染上了引导区病毒，以后在安装WINDOWS系统时，没有先查杀病毒，直接就安装了WINDOWS系统。

所以，WINDOWS先将引导区做了一个文件形式的备份，文件SUHDLOG.DAT 就是其备份，该文件以隐含的形式存放在WINDOWS系统根目录下，由于该引导型病毒存在文件中，没有作用，所以可以直接删除。

如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀，或者干脆把移动存储设备上的文件备份到硬盘上，然后重新格式化掉移动存储设备，再把文件复制回去。

如果病毒确实是在硬盘的引导区上，也不用怕，这类病毒的清除方法很简单，针对不同的操作系统有不同的清除方法，一般可以不依靠杀毒软件。

不过在清除之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows、Linux等。

实验1引导区病毒

XI`AN TECHNOLOGICAL UNIVERSITY实验报告实验课程名称引导区病毒一．实验目的1.了解系统启动过程2.学习实模式下DEBUG命令的相关操作3.了解引导区病毒的基本原理4.学会如何修复引导区二．实验原理一．引导型病毒定义引导型病毒，也叫开机型病毒，主要感染计算机主引导扇区和引导扇区的一类计算机病毒；其中，感染主引导扇区的病毒称作MBR病毒，感染引导区的病毒称为BR病毒。

二．计算机的启动过程在计算机系统启动时，BIOS加电自检及设备初始化成功后，BIOS将启动盘的0磁道，0柱面，1扇区的主引导记录（MBR）加载到内存物理地址0000：7C00（文档中的内存地址均采用16进制表示），并检查物理地址0000：7DFE处的字是否为0xAA55（引导区有效标记），若不相等给出“No Rom BASIC”提示，然后死机，若相等执行主引导程序，主引导记录（MBR）先将自己复制到内存的其他地方以让出0：7C00处的512B的空间，然后在主分区表中搜索标志为0x80（分区已被激活，0则表示未被激活）的激活分区，如发现没有或有多个激活分区，则提示“Invalid partition table”，并停止，否则将激活分区的第一个扇区（即系统引导扇区DBR）读入内存物理地址0000：7C00，并查找物理地址0000：7DFE处的字是否等于0xAA55，若不等于，则显示“Missing Operating System”然后停止，否则继续执行操作引导程序，引导计算机进入操作系统，完成整个引导过程。

三．中断中断就是CPU暂停当前程序的执行，转而执行处理紧急事物的程序，并在该事物处理结束后能自动恢复执行原先程序的过程，在此，称引起紧急事物的事件为中断源，称处理紧急事件的程序为中断服务程序或中断管理程序。

中断的分类很多，按触发的原因，有硬中断和软中断之分。

硬中断有实际的硬件事件引起，例如，除以零、算术溢出、按下键盘键等；软中断是因程序执行了计算机的INT指令造成的，例如，INT 21H将执行21H中断，这里21H称作中断号，其中“H”表示该数据为16进制。

病毒的分类

病毒的分类病毒是计算机系统中一种常见的恶意软件，其主要目的是破坏计算机系统、窃取敏感信息或者传播自身。

病毒通过植入到其他程序中，通过它们的执行来传播自身，因此病毒通常依赖于宿主程序的存在和运行。

根据其特征和行为，病毒可以被分类为多种类型。

本文将介绍几种常见的病毒分类。

1. 文件病毒文件病毒是最常见的病毒类型之一。

它们通过感染可执行文件、脚本或文档等文件来传播和感染其他计算机系统。

文件病毒可以分为两类：覆盖型病毒和插入型病毒。

覆盖型病毒会将目标文件的原始内容完全覆盖，并将自身的代码写入其中。

这样一来，当目标文件被执行时，实际上执行的是病毒的代码，而不是原始程序的代码。

插入型病毒则是将自身的代码插入到目标文件中，不改变其原始内容。

这种病毒会在目标文件执行前先执行自身的代码，然后再执行原始程序的代码。

2. 引导区病毒引导区病毒主要感染计算机系统的引导扇区或引导记录。

当计算机系统引导时，这些病毒会先加载自身的代码，然后再加载正常的引导程序。

引导区病毒通常会破坏引导记录或修改引导程序，以便在计算机启动时绕过系统的安全检查和防护措施。

引导区病毒非常隐蔽，很难被发现和清除。

除非使用专门的工具进行检测和修复，否则很难对其进行有效的防范和清除。

3. 宏病毒宏病毒是针对文档和电子表格等通过宏语言进行编程的文件类型的病毒。

它们通过感染这些文件中的宏代码来传播和感染其他计算机系统。

宏病毒通常运行于宏语言的解释器之上，这使得它们可以在不同的操作系统和软件平台上运行。

宏病毒可以利用文件的自动执行功能传播自身，例如通过电子邮件或网络进行传输。

4. 网络病毒网络病毒是专门设计用于在计算机网络中传播和感染其他计算机系统的病毒。

它们利用网络连接和通信协议，通过网络传输和感染其他计算机系统。

常见的网络病毒包括蠕虫病毒和僵尸网络病毒。

蠕虫病毒可以通过网络自动传播和感染其他计算机系统，而僵尸网络病毒则使感染的计算机成为控制者的远程控制台，用于进行大规模的网络攻击和数据窃取。