65磁盘杀手病毒 磁盘杀手病毒是系统引导型病毒 感染硬盘时把病毒程序存放在引导扇区 而不是主引导扇区。 病毒发作时,可以删除磁盘上的所有数 据,磁盘杀手由此而来
6.5 磁盘杀手病毒 磁盘杀手病毒是系统引导型病毒 感染硬盘时把病毒程序存放在引导扇区 而不是主引导扇区。 病毒发作时,可以删除磁盘上的所有数 据,磁盘杀手由此而来
6.5.1病毒的工作原理 磁盘杀手病毒由三部分组成,即引导模块、传染 模块、破坏模块。 引导模块驻留在引导扇区中,另外还有一部分与病毒程序 的其他部分一起存放在磁盘上标记为坏簇的扇区中。 当用带毒磁盘引导系统时,引导扇区中的病毒程序首先进 入内存中,获得系统的控制权。 病毒程序提取系统INT13H中断向量,并使系统内存总量减 少8K,以保护驻留内存高端的病毒程序。 随后计算出内存高端段地址,将整个病毒程序移至内存高 端 接着修改时钟中断INT8H使之计数,用作破坏模块的判断 条件 然后修改INT3H中断向量指针,使之指向病毒程序的传染 部分,完成病毒程序的激活, 最后执行正常的DOS引导
6.5.1病毒的工作原理 磁盘杀手病毒由三部分组成,即引导模块、传染 模块、破坏模块。 引导模块驻留在引导扇区中,另外还有一部分与病毒程序 的其他部分一起存放在磁盘上标记为坏簇的扇区中。 当用带毒磁盘引导系统时,引导扇区中的病毒程序首先进 入内存中,获得系统的控制权。 病毒程序提取系统INT13H中断向量,并使系统内存总量减 少8K,以保护驻留内存高端的病毒程序。 随后计算出内存高端段地址,将整个病毒程序移至内存高 端 接着修改时钟中断INT8H使之计数,用作破坏模块的判断 条件 然后修改INT13H中断向量指针,使之指向病毒程序的传染 部分,完成病毒程序的激活, 最后执行正常的DOS引导
对硬盘传染条件是读12扇区0道且不是0 头,将硬盘的引导扇区内容调入内存中 检查其特定位置上是否有病毒标记,若 有就退出传染模块,转向正常的INT3H 中断服务; 否则就将病毒程序的引导部分写到引导 扇区中,而把引导程序的另一部分与病 毒程序的其他部分以及原引导扇区中的 内容写到隐含扇区的最后5个扇区
对硬盘传染条件是读12扇区 0道且不是 0 头,将硬盘的引导扇区内容调入内存中, 检查其特定位置上是否有病毒标记,若 有就退出传染模块,转向正常的INT13H 中断服务; 否则就将病毒程序的引导部分写到引导 扇区中,而把引导程序的另一部分与病 毒程序的其他部分以及原引导扇区中的 内容写到隐含扇区的最后 5个扇区
对软盘传染时,首先检查是否有病毒标记,若 没有则将病毒程序的引导部分写到引导扇区中, 而把引导程序的另一部分与病毒程序的其他部 分共4个扇区和1个扇区的原引导扇区中的内容 写到软盘中的3个连续空簇中,并标记为坏簇 若软盘中已有病毒,则判断与上一次读盘操作 的驱动器号、磁头号、磁道号是否相同,如果 不同就执行正常的INT13H中断服务。 否则再判断[034F单元值减后是否为0,若不 为0则执行正常的INT13H中断服务, 若为0就要置累计触发条件,然后再执行正常的 INT13H中断服务
对软盘传染时,首先检查是否有病毒标记,若 没有则将病毒程序的引导部分写到引导扇区中, 而把引导程序的另一部分与病毒程序的其他部 分共 4个扇区和 1个扇区的原引导扇区中的内容 写到软盘中的 3个连续空簇中,并标记为坏簇 若软盘中已有病毒,则判断与上一次读盘操作 的驱动器号、磁头号、磁道号是否相同,如果 不同就执行正常的INT13H 中断服务。 否则再判断[034F]单元值减 1后是否为 0,若不 为 0则执行正常的INT13H中断服务, 若为 0就要置累计触发条件,然后再执行正常的 INT13H中断服务
病毒程序破坏模块的作用是当病毒程序 记数已达48小时时,执行类似于磁盘格 式化的数据销毁功能,使得磁盘无法使 用,只有在重新格式化后,才能使用, 但原来的信息则全部丧失
病毒程序破坏模块的作用是当病毒程序 记数已达48小时时,执行类似于磁盘格 式化的数据销毁功能,使得磁盘无法使 用,只有在重新格式化后,才能使用, 但原来的信息则全部丧失
6.5.2病毒的检测和消除 对磁盘杀手的检测比较方便,无论是软盘还是 硬盘都可以借助于工具软件直接观察引导扇区 内容,进行比较即可。 清除软盘中的病毒的方法是:从引导扇区中的 病毒程序处找出存放原引导扇区内容在盘上的 相对扇区号,进而读出正常引导扇区内容并写 回引导扇区,然后把坏簇标志改为可用簇。 清除硬盘中病毒的方法是借助工具软件从隐含 扇区的最后一个扇区中读出引导记录并写回到 引导扇区,即可清除病毒
6.5.2病毒的检测和消除 对磁盘杀手的检测比较方便,无论是软盘还是 硬盘都可以借助于工具软件直接观察引导扇区 内容,进行比较即可。 清除软盘中的病毒的方法是:从引导扇区中的 病毒程序处找出存放原引导扇区内容在盘上的 相对扇区号,进而读出正常引导扇区内容并写 回引导扇区,然后把坏簇标志改为可用簇。 清除硬盘中病毒的方法是借助工具软件从隐含 扇区的最后一个扇区中读出引导记录并写回到 引导扇区,即可清除病毒
67黑色星期五病毒 黑色星期五病毒在13日且又是星期五时 发作,删除磁盘上的所有被执行文件。 由于在西方13是一个不吉利的数字,因 此对于既是13日又是星期五,就称为黑 色星期五。 最初这种病毒出现在以色列希伯莱大学 故也称为希伯莱病毒。因为该大学位于 耶路撒冷,又称为耶路撒冷病毒
6.7 黑色星期五病毒 黑色星期五病毒在13日且又是星期五时 发作,删除磁盘上的所有被执行文件。 由于在西方13是一个不吉利的数字,因 此对于既是13日又是星期五,就称为黑 色星期五。 最初这种病毒出现在以色列希伯莱大学, 故也称为希伯莱病毒。因为该大学位于 耶路撒冷,又称为耶路撒冷病毒
671黑色星期五病毒的特点 黑色星期五病毒是一种流行广且危害很 大的恶性病毒。它是一种文件型病毒, 传染对象是后缀为COM和EXE的可执行 文件。 已感染病毒的com文件,病毒程序位于 最前端,而对于eXe文件则位于文件的后 但当运行含有病毒的文件时,最先运行 的总是病毒程序,且首先获得系统的控 制权
6.7.1黑色星期五病毒的特点 黑色星期五病毒是一种流行广且危害很 大的恶性病毒。它是一种文件型病毒, 传染对象是后缀为COM和EXE的可执行 文件。 已感染病毒的.com文件,病毒程序位于 最前端,而对于.exe文件则位于文件的后 面。 但当运行含有病毒的文件时,最先运行 的总是病毒程序,且首先获得系统的控 制权
感染黑色星期五病毒的文件属性和建立 日 期是不变的。 对于后缀是COM的文件,只感染一次,使 其增加1813个字节,且病毒程序位于该文 件的首部。 而对于后缀是EXE的文件,则可无限次的 感染,其每次感染时都将病毒程序放在文 件的尾部。 必须指出的是,病毒程序在对文件感染时, 先是修改DOS的出错处理中断INT24H, 从而使病毒的感染过程能悄悄地进行
感染黑色星期五病毒的文件属性和建立日 期是不变的。 对于后缀是COM的文件,只感染一次,使 其增加1813个字节,且病毒程序位于该文 件的首部。 而对于后缀是EXE的文件,则可无限次的 感染,其每次感染时都将病毒程序放在文 件的尾部。 必须指出的是,病毒程序在对文件感染时, 先是修改DOS的出错处理中断INT 24H , 从而使病毒的感染过程能悄悄地进行
黑色星期五病毒的破坏分为两种。 种是利用所截获的INT8H中断向量 在病毒程序内部设置计数器, 当值为2时,在屏幕上显示“长方块”, 若值为0时,则通过执行无用的字符循环 程序来减慢系统速度。 另一种是日期和星期计数,当系统日历 为13日且是星期五时,在系统中运行的 EXE和COM文件就会被删除
黑色星期五病毒的破坏分为两种。 一种是利用所截获的INT 8H中断向量, 在病毒程序内部设置计数器, 当值为2时,在屏幕上显示“长方块”, 若值为0时,则通过执行无用的字符循环 程序来减慢系统速度。 另一种是日期和星期计数,当系统日历 为13日且是星期五时,在系统中运行的 EXE和COM文件就会被删除