引导型病毒的机理和解析

格式：docx
大小：53.53 KB
文档页数：13

下载文档原格式

/ 13

计算机病毒的定义及分类.doc

计算机病毒的定义及分类～教育资源库计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。

计算机病毒可根据感染形态进行分类，大致可分为以下几种：①引导型病毒：引导型病毒是病毒把自身的程序代码存放在软盘或硬盘的引导扇区中。

由于现代计算机的启动机制，使得病毒可以在每次开机，操作系统还没有引导之前就被加载到内存中，这个特性使得病毒可以对计算机进行完全的控制，并拥有更大的能力进行传染和破坏。

绝大多数引导型病毒有极强的传染性和破坏性，通常会格式化硬盘、修改文件分配表（FA T表）等，一旦发作，计算机的数据通常会全部丢失。

这种类型病毒的清除也很简单，不管是什么名字的病毒，只要是引导型的，用干净的软盘（即不含病毒的启动软盘，注意：一定要关闭软盘的写保护，不允许对软盘进行写入操作）启动系统，然后重写硬盘的引导扇区即可清除。

由于该类病毒的清除和发现很容易，所以这类病毒都属于很老的了，现在基本上已经灭绝。

②文件型病毒：文件型病毒通常把病毒程序代码自身放在系统的其它可执行文件（如：*.、*.EXE、*.DLL等）中。

当这些文件被执行时，病毒的程序就跟着被执行。

文件型病毒依传染方式的不同，又分为非常驻型以及常驻内存型两种。

非常驻型病毒是将病毒程序自身放置于*.、*.EXE或是*.SYS的文件中，当这些中毒的程序被执行时，就会尝试把病毒程序传染给另一个或多个文件。

该类病毒只在感染病毒的程序被调用执行时，传染给其它程序，病毒本身并不常驻内存；常驻内存型病毒躲在内存中，一旦常驻内存型病毒进入了内存，只要有可执行文件被执行，就可以对其进行感染。

由于病毒一直常驻内存，所以此时用杀毒软件进行杀毒，存在带毒杀毒的问题，通常不易杀干净。

一般需要用干净的系统引导盘启动系统后，再进行杀毒才彻底。

③复合型病毒：复合型病毒具备引导型病毒和文件型病毒的特性，可以传染*.、*.EXE、*.DLL文件，也可以感染磁盘的引导扇区。

引导型病毒清除方法

1、主要特征：桌面上出现几个删除不了的图标，其通过右键无法删除，使用工具删除清理后重复出现。

2、隐含特征：这是一个引导型病毒，病毒会在感染初期就修改PC系统的硬盘主引导模块[主MBR]，这样它就先于Windows系统启动而进入内存，病毒有一部分存在于硬盘的空闲扇区中，当引导程序激活它以后，用户即使重新安装系统也会在第一次启动时就被重复感染。

3、感染机系统在空闲时进程中多出一些未知的程序，并且伪装成与系统类似的名称比如wupmgr.exe，svchost.exe[不好分别]。

4、感染机系统各分区根目录下，全部的目录及程序可能都被隐藏并出现伪装的替代同名程序，辨别方法是资源管理器显示详细信息，其目录图标伪装的程序，分类不是文件夹。

清除建议：
1、应首先重置硬盘的主引导记录MBR，使用光盘，U盘或移动硬盘启动，利用其所带磁盘工具，将主机的硬盘MBR还原为标准MBR。

还原完不要启机进入系统防止重复感染。

2、立刻重装系统，或者重G系统，如果有还原备份的话，可以通过光盘、U盘、移动硬盘运行Ghost主程序来还原主机系统。

3、建议在WinPE工具环境下，整理主机各分区根目录，辨别删除病毒体伪装的文件，特征是其文件的生成时间都是同一时刻[也就是此机被感染时间]，大小相同，图标为文件夹类似黄SE，名称为原目录名同名。

4、正确重新做好系统后，进入桌面不要查看我的电脑，或者资源管理器中的任何文件[病毒体可能在其它分区中易被激活]，请在第一时间配置好上网程序，下载安装杀毒软件，并且打全所有系统漏洞补丁。

然后让杀毒软件查杀各分区，确保病毒被清除。

《计算机病毒》实验一：引导型病毒实验

四、硬盘感染软盘
1．下载empty.img，并且将它插入虚拟机，启动电脑，由于该盘为空，将出现空白界面。
2．取出虚拟软盘，从硬盘启动，通过命令format A: /q快速格式化软盘。（由于版本原因，会出现NOT READY，硬盘格式化失败。）
结果和总结：
1.首先通过带病毒的软盘，将病毒从软盘加载到内存。这时，病毒寻找DOS引导区的位置，并将其移动到别的位置，病毒自己写入原DOS引导区。
2.病毒占据物理位置并获得控制权（在启动时获得），待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。
3.实验中，我们取出了软盘，并通过硬盘引导进入了病毒的界面，按任意键后正常引导了DOS系统，可见硬盘已被感染。
4.从一个空的软盘引导进入，显示为空没有感染，取出软盘后。从硬盘进入并格式化硬盘，再次从软盘进入，看到了感染现象，说明病毒已经由硬盘感染到了软盘。（可能是的病毒隐藏在引导区中，通过启动实现了感染）
实验内容：
（1）引导阶段病毒由软盘感染硬盘实验。通过触发病毒，观察病毒发作的现象和步骤学习
病毒的感染机制；阅读和分析病毒的代码。
（2）DOS运行时病毒由硬盘感染软盘的实现。通过触发病毒，观察病毒发作的现象和步骤
学习病毒的感染机制；阅读和分析病毒的代码。
实验过程：
一、环境安装
1.安装虚拟机VMWare，在虚拟机中使用winbaicai快速格式化虚拟硬盘。
实验报告
题目：引导型病毒实验
姓名：王宇航
学号：09283020
实验环境：VMWare Workstation5.5.3MS-DOS 7.10
操作系统：windows系统XP（√）2003（）其他：

计算机病毒的种类及原理

计算机病毒的种类及原理从计算机病毒的基本类型来分，计算机病毒可以分为系统引导型病毒、可执行文件型病毒、宏病毒、混合型病毒、特洛伊木马型病毒和Internet语言病毒等等。

●系统引导型病毒系统引导型病毒在系统启动时，先于正常系统的引导将病毒程序自身装入到操作系统中，在完成病毒自身程序的安装后，该病毒程序成为系统的一个驻留内存的程序，然后再将系统的控制权转给真正的系统引导程序，完成系统的安装。

表面上看起来计算机系统能够启动并正常运行，但此时，由于有计算机病毒程序驻留在内存，计算机系统已在病毒程序的控制之下了。

系统引导型病毒主要是感染软盘的引导扇区和硬盘的主引导扇区或DOS引导扇区，其传染方式主要是通过用被病毒感染的软盘启动计算机而传染的。

只要用这些有系统引导型病毒的软件启动计算机，不管有没有引导成功，系统引导型病毒都将自动装入内存。

而在这些由系统引导型病毒控制的系统下，将感染所有进行读、写操作的软盘和硬盘的引导扇区或主引导扇区，一旦硬盘感染了系统引导型病毒，那将感染所有在该系统中使用的软盘。

这样，通过软盘作为传染的媒介，病毒就会广泛传播。

●可执行文件型病毒可执行文件型病毒依附在可执行文件或覆盖文件中，当病毒程序感染一个可执行文件时，病毒修改原文件的一些参数，并将病毒自身程序添加到原文件中。

在被感染病毒的文件被执行时，由于病毒修改了原文件的一些参数，所以首先执行病毒程序的一段代码，这段病毒程序的代码主要功能是将病毒程序驻留在内存，以取得系统的控制权，从而可以完成病毒的复制和一些破坏操作，然后再执行原文件的程序代码，实现原来的程序功能，以迷惑用户。

可执行文件型病毒主要感染系统可执行文件（如DOS或WINDOWS系统的COM或EXE文件）或覆盖文件（如OVL文件）中，极少感染数据文件。

其传染方式是当感染了病毒的可执行文件被执行或者当系统有任何读、写操作时，向外进行传播病毒。

此时，病毒程序首先将要被感染的文件读入内存，判断其特定位置上是否有该病毒程序的标记，如果已经感染了就不再重复感染，如果没有感染，则将病毒程序写到该文件中。

电脑病毒种类有哪些（2）

电脑病毒种类有哪些（2）电脑病毒种类有哪些对于以上三种病毒的分类，实际上可以归纳为两大类：一类是引导区型传染的计算机病毒;另一类是可执行文件型传染的计算机病毒。

6.按照计算机病毒激活的时间分类按照计算机病毒激活时间可分为定时的和随机的。

定时病毒仅在某一特定时间才发作，而随机病毒一般不是由时钟来激活的。

7.按照传播媒介分类按照计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。

(1)单机病毒单机病毒的载体是磁盘，常见的是病毒从软盘传入硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。

(2)网络病毒网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。

8.按照寄生方式和传染途径分类人们习惯将计算机病毒按寄生方式和传染途径来分类。

计算机病毒按其寄生方式大致可分为两类，一是引导型病毒，二是文件型病毒;它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。

混合型病毒集引导型和文件型病毒特性于一体。

引导型病毒会去改写(即一般所说的“感染”)磁盘上的引导扇区(BOOT SECTOR)的内容，软盘或硬盘都有可能感染病毒。

再不然就是改写硬盘上的分区表(FAT)。

如果用已感染病毒的软盘来启动的话，则会感染硬盘。

引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。

引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理地址为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序被执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中伺机传染、发作。

有的病毒会潜伏一段时间，等到它所设置的日期时才发作。

有的则会在发作时在屏幕上显示一些带有“宣示”或“警告”意味的信息。

病毒处理办法.

木马查杀方法
根据木马的启动运行原理，可先利用msconfig关闭启动项中的可疑程序，重启后上网升级病毒软件或下载补丁程序和专杀工具。
木马手工查杀方法
1、利用任务管理器查找可疑进程，尝试结束 2、“系统配置实用程序（msconfig）”中的 “启动”项和“服务”项中找可疑启动项删除，或在“注册表编辑器”中的 HKEY_CURRENT_USER\Software\Microsof t\Windows\CurrentVersion\Run项和 HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion\Run项中找可疑启动项删除。
文件型病毒查杀方法
利用干净的（确保无毒）软盘或光盘引导机器，利用dos版的杀毒软件进行查杀。杀毒后可能会导致某些程序无法运行甚至无法进入系统，建议杀毒前重要数据先备份，出现这类情况可覆盖安装（9x、me或应用程序）或修复安装（2k或xp）尝试修复，系统文件可用sfc修复。如果无效建议格式化重装。
病毒处理办法
引导型病毒现象与危害
1、隐藏于硬盘或软盘的引导区中，当计算机从感染了此类病毒的磁盘引导时，病毒驻留到内存中，之后向其他所有可写磁盘复制传播 2、发作时可导致系统不引导，分区表被破坏等现象。"
引导型病毒查杀方法
利用干净的（确保无毒）软盘或光盘引导机器，利用dos版的杀毒软件进行查杀。杀毒后有可能导致硬盘不引导甚至分区丢失等现象，因此建议杀毒前，备份重要数据
文件型病毒手动查杀
1、如确认为染毒文件且文件无用最好在dos下直接删除 2、如无把握建议最好用杀毒软件查杀"
蠕虫病毒现象与危害
1、通过网络复制，通过邮件系统自动发送自己的复制品。 2、传播速度极快，会造成网络拥挤瘫痪 3、主机运行速度变慢或某些系统功能异常，死机重启等异常。

引导型病毒的原理与FDISKMBR的正确使用

② 转移型（保留型）：这类病毒在传染磁盘引导区之前保留了原引导记录，并转移到磁盘其它扇区，以备将来病毒初始化模块完成后仍由原引导记录完成系统正常引导。
转移型病毒的判定：若根据“覆盖型病毒的判定”中内容不能判断为覆盖型病毒，则可认为是转移型病毒。
二、引导型病毒的驻留
为避免被覆盖，引导型病毒有以下几种驻留方法。
另外还需要注意的是：有些病毒很狡猾，能够防止自已被覆盖，比如早期的Joshi病毒就能截留中断13h，暗中阻止对主引导扇区的更新。当我们用 FDSIK/MBR 命令以后，看起来完成了，但实际上并没有成功。更有甚者，如果程序要访问含有主引导记录的扇区，joshi会将截取这一要求将其导向磁盘其它含有原来主引导记录备份的扇区。还有一些磁盘压缩程序也需要更改主引导记录。使用 FDISK/MBR 将去掉这些程序所作的改动而使它们失效，因为当压缩程序失败后，存在压缩盘上的文件就无法存取了。如果已知硬盘上的其他程序更改了主引导记录就不要使用此开关。
② 转移型病毒的清除
对付转移型引导病毒如果用 FDISK/MBR 命令来清除却是“助纣为虐”。因为感染转移型病毒的硬盘第一物理扇区，通常已无分区表信息及检验标志，全为病毒代码，在执行 FDISK/MBR 后，硬盘启动的源头被覆盖，系统改正了系统引导程序却没有同时搬移回正确的分区表，硬盘将立即丧失启动能力。所以正确的作法是：使用杀毒软件来清除；也可以在硬盘0磁道0磁头的第2—17扇区（系统的隐含扇区，是引导型病毒的主要栖息地），查找扇区最后2个字节为55AA的扇区，即可认为是原主引导记录，将偏移量01BE—01FF信息用手工方法（例如：NU DiskEdit ）写回原相应位置，最后再使用此参数予以清除。
一、引导型病毒的存贮形式
软盘的引导区在物理第一扇式，也称 BOOT 区，硬盘的引导区则分两部分，一部分是物理第一扇的主引导区，另一部分是分区（对应逻辑盘）的引导区（ BOOT 区）。引导型病毒就是通过占据这些位置，在系统引导时获得控制权的。其存贮可分为以下两种。

计算机病毒结构分析(1)ppt课件

第三章计算机病毒结构分析本章学习目标•掌握计算机病毒的结构•掌握计算机病毒的工作机制•了解引导型病毒原理•了解COM、EXE、NE、PE可执行文件格式•掌握COM文件病毒原理及实验•掌握PE文件型病毒及实验总体概念•DOS是VXer的乐园(Aver) •9x病毒ring3, ring0•2K病毒主要是ring3•Windows文件格式变迁：•COM•EXE:MZ->NE->PE•Vxd: LE(16Bit, 32Bit)一、计算机病毒的结构和工作机制•四大模块：•感染模块•触发模块•破坏模块（表现模块）•引导模块（主控模块）•两个状态：•静态•动态工作机制引导模块•引导前——寄生•寄生位置：•引导区•可执行文件•寄生手段：•替代法（寄生在引导区中的病毒常用该法）•链接法（寄生在文件中的病毒常用该法）１PE文件结构及其运行原理（1）PE文件格式总体结构•PE（Portable Executable：可移植的执行体）•是Win32环境自身所带的可执行文件格式。

•它的一些特性继承自Unix的Coff(Common Object )文件格式。

•可移植的执行体意味着此文件格式是跨win32平台的，即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式。

•当然，移植到不同的CPU上PE执行体必然得有一些改变。

•除VxD和16位的Dll外，所有win32执行文件都使用PE文件格式。

因此，研究PE文件格式是我们洞悉Windows结构的良机。

PE文件结构总体层次分布DOSMZheader ‘MZ’格式DOSstub Dos程序PEheader PE文件Section表•所有PE文件必须以一个简单的DOS MZ header开始。

有了它，一旦程序在DOS下执行，DOS就能识别出这是有效的执行体。

•DOS stub实际上是个有效的EXE，在不支持PE文件格式的操作系统中，它将简单显示一个错误提示，类似于字符串 “该程序不能在DOS模式下运行”或者程序员可根据自己的意图实现完整的DOS代码。

计算机病毒寄生方式和感染途径分类

计算机病毒寄生方式和感染途径分类计算机病毒按其寄生方式大致可分为两类:一是引导型病毒,二是文件型病毒。

按其感染途径又可分为驻留内存型和不驻留内存型,驻留内存型按其驻留方式又可细分。

混合型病毒集引导型和文件型病毒特性于一体。

(1)引导型病毒引导型病毒也称磁盘引导型、引导扇区型、磁盘启动型、系统型毒等。

引导型病毒就是把自己的病毒程序放在软盘的引导区以及硬盘的主引导记录区或引导扇区,当作正常的引导程序,而将真正的引导程序搬到其他位置。

这样,计算机启动时,就会把引导区的病毒程序当作正常的引导程序来运行,使寄生在磁盘引导区的静态病毒进入计算机系统,病毒变成活跃状态(或称病毒被激活),这时病毒可以随时进行感染和破坏。

此外,这种病毒通常会改写硬盘上的主引导记录区、引导区、文件分配表、文件目录区、中断向量表等。

引导型病毒几乎清一色都会常驻内存,或称作内存驻留型,差别仅仅在于内存中的位置不同。

引导型病毒按其寄生对象的不同又可分为两类:主引导区病毒和引导区病毒。

引导型病毒的感染目标都是一样的,即磁盘的引导区,所以一般比较好防治。

(2)文件型病毒文件型病毒是指所有通过操作系统的文件系统进行感染的病毒。

文件型病毒以感染可执行文件(.BAT、.EXE、.COM、.SYS、.DLL、.OVL、.VXD 等)的病毒为主,还有一些病毒可以感染高级语言程序的源代码、开发库或编译过程中所生成的中间文件。

病毒可能隐藏在普通的数据文件中,但是这些隐藏在数据文件中的病毒不是独立存在的,必须通过隐藏在可执行文件中的病毒部分来加载这些代码。

宏病毒在某种意义上可以被看作文件型病毒,但由于其数量多、影响大,而且也有自己的特点,所以通常单独分类。

文件型病毒通常分为源码型病毒、入侵型病毒和外壳型病毒,以文件外壳型病毒最为流行。

文件型病毒按其驻留内存方式的不同可分为高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型和不驻留内存型。

(3)混合型病毒混合型病毒,也称综合型、复合型病毒,既具有操作系统型病毒的特点,又具有文件型病毒的特点,即这种病毒既可以感染磁盘引导扇区,又可以感染可执行文件,这类病毒的危害性更大。

计算机病毒的类型

6

4.蠕虫病毒蠕虫病毒是一种通过网络进行传播的恶意病毒,它的出现相对于木马病毒,宏病毒来说比较晚,但是无论从传播速度,传播范围还是从破坏程度上来讲,蠕虫病毒都是以往的传统病毒所无法比拟的. 它的传播主要体现在以下两个方面: (1)系统漏洞(利用微软的系统漏洞攻击计算机网络,网络中的客户端感染这一类病毒后,会自动拨号上网,并利用文件中的地址或者网络共享传播,从而导致网络服务遭到拒绝并发生死锁,最终破坏用户大部分重要数据) (2)电子邮件(利用E-MAIL迅速传播,如求职者病毒等.)
7
蠕虫病毒的特点及发展趋势

利用操作系统和应用程序的漏洞主动进行攻击传播方式多样化(可以通过文件,电子邮件,WEB服务器及网络共享等.) 病毒制作技术与传统病毒不同(许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改,从而可以产生新的变种, 因此可以逃避反病毒软件的搜索) 与黑客技术相结合
2

2.引导型病毒引导型病毒利用引导扇区藏身,利用BIOS 数据区来使病毒代码常驻内存. 引导型病毒是在系统启动时,先于正常系统的引导将其自身装入到系统中,这是因为这类病毒侵占了系统磁盘的主引导区或者 DOS分区的引导扇区,而系统在启动时只是机械地将这些扇区中的内容读到内存中, 这样病毒就可以获得对系统的控制权.
第2章计算机病毒
1
2.3 常见的计算机病毒类型

1.文件型病毒文件型病毒通常寄生在可执行文件(如 *.COM,*.EXE等)中,当这些文件被执行时,病毒程序就会紧接着被执行. 非常驻型病毒(非常驻型病毒将自己寄生在 *.com,*.exe或者*.sys文件中.) 常驻型病毒(常驻型病毒驻留在内存当中,只要存在可执行文件被执行,它就会对其进行感染,其效果非常显著.将它赶出内存的唯一方式就是冷开机,(完全关掉电源之后再毒的传染对象主要是硬盘的主引导扇区及硬盘的DOS分区的引导扇区. 引导型病毒按其寄生对象的不同又可分为两类,即覆盖型病毒和转移型病毒. 覆盖型病毒(该类病毒在传染磁盘引导区时直接用自身代码覆盖原引导记录,但并不触动分区表及检验标志,且不保留备份,启动时由自身代码完成对系统的引导)

计算机病毒类型

计算机病毒类型大多数病毒落入四种主要类别：1.引导区型；2.文件型；3.混合型；4.宏病毒。

引导区型病毒直到90年代中期，引导区型病毒是最流行的病毒类型，主要通过软盘在16比特DOS操作统里传播。

引导区型病毒侵染软盘中的引导区，蔓延到用户硬盘，并能侵染到用户硬盘中的“主引导记录”（MBR）。

一旦MBR或硬盘中的引导区被病毒侵染，病毒就试图侵染每一个插入计算机从事访问的软盘的引导区。

引导区病毒是这样工作的：由于病毒隐藏在软盘的第一扇区，使它可以在系统文件装入贮区之前，先进入存贮区，从而使它获得对DOS扰乱的完全控制，这就使它得以传播和造成危害。

这些病毒常常用它们的程序内容替代MBR或DOS引导区的源程序，又移动扇区到软盘的其它存贮区域。

清除引导区病毒可以通过用一个没有被侵染病毒的系统软盘来引导计算机，而不是用硬盘来驱动，或是找到原始的引导区，并把它放进软盘上的正确位置。

文件病毒文件病毒是文件侵染者，也被称为寄生病毒。

它运作在计算机存贮器里，通常它感染带有.COM,.EXC,.DRV,.BIN,.OVL,.SYS扩展名的可执行文件。

每一次它们激活时，感染文件把自身复制到其它可执行文件中，并能在存贮器里保存很长时间，直到病毒又被激活。

存在着数千种文件病毒。

但是它类似于引导区病毒，极大多数文件病毒活动在DOS16比特环境中。

然而，也有一些文件病毒能很成功地感染微软Windows，IBM OS/2和苹果机Macintosh 环境。

混合病毒混合病毒有引导区病毒和文件病毒两者的特征。

宏病毒按照美国“国家计算机安全协会”的统计，宏病毒目前占全部病毒的80％。

在计算机历史上它是发展最快的病毒。

宏病毒同其它类型的病毒不同，它不特别关连于操作系统，它能通过电子邮件、软盘、Web下载、文件传输和合作应用很容易地得以蔓延。

然而，宏病毒特别关连于计算机的应用。

它们侵染大型的正在运作如微软Word和Excel的应用程序。

同时，Word宏病毒不感染Excel文件。

计算机病毒原理介绍

计算机病毒原理介绍电脑病毒原理介绍：电脑病毒原理一、病毒定义所谓病毒就是一段代码，其本质和大家使用的QQ、WORD什么的程序没有区别，只不过制作者令其具有了自我复制和定时发作进行破坏功能。

一般病毒都在1K到数K 大小。

电脑病毒原理二、病毒种类我们所遇到的病毒可分引导型感染磁盘引导区程序型感染可执行文件宏病毒感染WORD文档等。

电脑病毒原理三、病毒工作原理计算机系统的内存是一个非常重要的资源，我们可以认为所有的工作都需要在内存中运行相当与人的大脑，所以控制了内存就相当于控制了人的大脑，病毒一般都是通过各种方式把自己植入内存，获取系统最高控制权，然后感染在内存中运行的程序。

注意，所有的程序都在内存中运行，也就是说，在感染了病毒后，你所有运行过的程序都有可能被传染上，感染那些文件这由病毒的特性所决定1、程序型病毒的工作原理。

这是目前最多的一类病毒，主要感染.exe 和 .dll等可执行文件和动态连接库文件，比如很多的蠕虫病毒都是这样。

注意蠕虫病毒不是一个病毒，而是一个种类。

他的特点是针对目前INTERNET高速发展，主要在网络上传播，当他感染了一台计算机之后，可以自动的把自己通过网络发送出去，比如发送给同一居欲网的用户或者自动读取你的EMAIL列表，自动给你的朋友发EMAIL等等。

感染了蠕虫病毒的机器一秒种可能会发送几百个包来探测起周围的机器。

会造成网络资源的巨大浪费。

所以这次我们杀毒主要是针对这种病毒。

那么病毒是怎么传染的那? 切记：病毒传染的前提就是，他必须把自己复制到内存中，硬盘中的带毒文件如果没有被读入内寸，是不会传染的，这在杀毒中非常重要。

而且，计算机断电后内存内容会丢失这我想大家都知道。

所以：病毒和杀毒软件斗争的焦点就在于争夺启动后的内存控制权。

2、程序型病毒是怎么传播的。

病毒传播最主要的途径是网络，还有软盘和光盘。

比如，我正在工作时，朋友拿来一个带病毒的软盘，比如，该病毒感染了磁盘里的A文件，我运行了一下这个A文件，病毒就被读如内存，如果你不运行染毒文件，程序型病毒是不会感染你的机器的不要骂，我这里说的是程序型病毒，后面我会说引导型病毒，他只要打开软盘就会感染当染毒文件被运行，病毒就进入内存，并获取了内存控制权，开始感染所有之后运行的文件。

引导型病毒试验

实验二引导型病毒试验专业班级学号姓名实验学时实验类型实验地点实验时间指导老师高虎实验成绩年月日一实验目的通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染染毒文件的方法，提高汇编语言的使用能力。

二实验内容1.引导阶段病毒由软盘感染硬盘实验。

通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制；阅读和分析病毒的代码。

2.DOS 运行时病毒由硬盘感染软盘的实现。

通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制；阅读和分析病毒的代码。

三预备知识本实验需要如下的预备知识：1. 引导病毒的基础知识，包括引导病毒的概念，引导扇区的位置和结构等。

2. BIOS 常用中断的相关知识，包括对磁盘的读写和屏幕字符的打印等。

汇编语言基础，能独立阅读和分析汇编代码，掌握常用的汇编指令。

四实验环境VMWare Workstation 5.5.3 或者8.0 均可MS.DOS 7.10实验素材：experiments 目录下的bootvirus 目录。

2.4 实验步骤第一步：环境安装安装虚拟机VMWare，在虚拟机环境内安装MS-DOS 7.10 环境。

安装步骤参考附录。

第二步：软盘感染硬盘（1）运行虚拟机，检查目前虚拟硬盘是否含有病毒。

（2）复制含有病毒的虚拟软盘virus.img（3）将含有病毒的软盘插入虚拟机引导，可以看到闪动的字符*^_^*，。

第三步：验证硬盘已经被感染(1) 取出虚拟软盘，通过硬盘引导，再次出现了病毒的画面。

（2）按任意键后正常引导了DOS 系统，如图2.5 所示。

此时，硬盘已经被感染。

第四步：硬盘感染软盘(1)下载empty.img，并且将它插入虚拟机，启动计算机，由于该盘为空，但该显示一瞬即逝，很快又变成了病毒的画面。

（2）取出虚拟软盘，从硬盘启动，通过命令formatA:q 快速格式化软盘。

可能提示出错，这时只要按下R 键即可.五实验思考a) 如何检测一个硬盘是否感染了引导病毒？答：主要是基于下列四种方法:比较被检测对象与原始备份的比较法;利用病毒特征代码串进行查找的搜索法;搜索病毒体内特定位置的特征字识别法;运用反汇编技术分析被检测对象，确证是否为病毒的分析法。

引导型病毒

引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。

引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。

引导区病毒的传播方式：下面主要说一下目前传播最为广泛的引导区病毒WYX。

这个病毒传播的唯一途径就是使用感染有该病毒的启动盘（包含可启动的光盘）启动计算机。

如果只是读取感染有引导区病毒的软盘或者光盘上的文件是不会被感染。

如果你的机器已经感染该病毒，并且病毒驻留了内存，则你的软盘如果没有写保护的话很容易被感染。

WYX病毒的清除：当你的杀毒软件查出了机器感染了WYX的时候请不要惊慌，先要看清楚该文件的感染位置。

如果病毒是在SUHDLOG.DAT或SUHDLOG.BAK文件中，那么直接删除即可。

其实，这是硬盘引导区先染上了引导区病毒，以后在安装WINDOWS系统时，没有先查杀病毒，直接就安装了WINDOWS系统。

所以，WINDOWS先将引导区做了一个文件形式的备份，文件SUHDLOG.DAT 就是其备份，该文件以隐含的形式存放在WINDOWS系统根目录下，由于该引导型病毒存在文件中，没有作用，所以可以直接删除。

如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀，或者干脆把移动存储设备上的文件备份到硬盘上，然后重新格式化掉移动存储设备，再把文件复制回去。

如果病毒确实是在硬盘的引导区上，也不用怕，这类病毒的清除方法很简单，针对不同的操作系统有不同的清除方法，一般可以不依靠杀毒软件。

不过在清除之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows、Linux等。

计算机病毒程序的机理

而且文件型病毒采用操作系统功能调用的驻留方法，以取
得合法地位。
Ｉ感染机理２
导型病毒、件型病毒、文复合型病毒。弓导型病毒是寄生ｆ
在操作系统中，文件型病毒是寄生在可执行文件中，复合
型病毒则是将弓导型病毒和文件型病毒结合在一起．Ｉ它既感染文件，叉感染引导区。但不管怎样分类，毒程序的病
汇编语言编写的下面让我们来分析一下各模块的机理１Ｉ安装机理
也就是使用进行磁盘操作的同时进行感染操作的方法。
１３破坏机理
计算机病毒的最终目的是破坏，其破坏手段是删除和
修改数据、占用系统资源、干扰系统的正常运行等等破坏机制分为两部分：一是激发控制，当病毒满足某个条件时就发作，例如ＣＨ病毒的发作条件为４月２Ｉ６日，其变种艋奉的发作条件有６２和每月２月６日６日；二是破坏操
作，不同的病毒有不同的方法，有的病毒疯狂拷贝，有的
病毒程序是没有文件名的程序，任何一个用户都不会去运行一个病毒程序，因此，病毒程序必需通过自的程身
序实现自安装、自启动。不同类型的病毒程序使用不同的方法自安装弓导型病毒是在机器启动时被安装的我们知道．计ｆ
维普资讯
计算机时代
２０年第３０２期
廖智，伍萍辉
（湖南工程学院计算机科学系４１０）１１１１计算机病毒程序模型和机理
计算机病毒程序按寄生方式来分．可分为三大类：引
一
个带病毒的可执行程序时．病２

计算机病毒的感染原理及其危害与防范

计算机病毒的感染原理及其危害与防范【摘要】本文首先进行了对计算机病毒概述，其次，对计算机病毒感染原理及感染病毒后的计算机的症状做了介绍，最后探讨了病毒对计算机的危害，并提出了相应的防范措施。

【关键词】计算机；病毒；感染原理；危害；防范一、前言我国信息技术的发展推动互联网行业的迅猛发展，计算机已经深入了千家万户的生活当中，与人们的生活息息相关。

但是，近年来在计算机发展的同时，病毒的发展也是迅速的，病毒对电脑的危害是巨大的，因此，我们很有必要了解计算机病毒的感染原理，防范病毒对计算机的危害。

二、计算机病毒概述1、计算机病毒的定义计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。

2、计算机病毒的由来计算机病毒从1983年被美国计算机专家伦艾德勒曼(LenAdleman)首次命名至今，新的病毒种类不断出现，并随着网络的发展而不断蔓延。

所有病毒都是掌握计算机程序设计技巧的人制造的，根据对现有已了解的毒源分析，计算机病毒可能的来源有：(1)来源于计算机专业人员或业余爱好者的恶作剧而制造出的病毒。

(2)公司或用户为保护自己的软件不被复制而采取的不正当的惩罚措施。

(3)恶意攻击或有意摧毁计算机系统而制造的病毒。

(4)在研究或开发设计某些程序时，由于未估计到的原因而对它失去了控制所产生的破坏性程序。

三、计算机病毒感染原理及感染病毒后的计算机的症状1、计算机病毒感染原理病毒的感染原理不同感染途径的病毒, 其感染机制也不相同。

(1)、引导型病毒感染原理系统引导型病毒主要是感染软盘的引导扇区和硬盘的主引导扇区或DOS 引导扇区,其传染方式主要是通过使用被病毒感染的软盘启动计算机而传染。

一旦使用存在系统引导型病毒的软件启动计算机, 系统引导型病毒则会自动装入内存, 并且比操作系统抢先进入内存, 控制读写动作, 伺机感染其它未被感染的磁盘。

电脑病毒的分类三大类

电脑病毒的分类三大类计算机病毒的分类可以分为三大类，下面是店铺为你整理相关的内容，希望大家喜欢!据多年对计算机病毒的研究，按照科学的、系统的、严密的方法，计算机病毒可分类如下：按照计算机病毒属性的方法进行分类，计算机病毒可以根据下面的属性进行分类：根据病毒存在的媒体，病毒可以划分为1.网络病毒2.文件病毒3.引导型病毒。

网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件(如：COM，EXE，DOC等)，引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)，还有这三种情况的混合型，例如：多型病毒(文件和引导型)感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

按病毒传染的方法根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存(RAM)中，这一部分程序挂接系统调用并合并到操作系统中去，他处于激活状态，一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。

按病毒破坏的能力无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。

无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。

危险型：这类病毒在计算机系统操作中造成严重的错误。

非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。

由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。

按病毒的算法伴随型病毒，这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名(COM)，例如：XCOPY.EXE的伴随体是XCOPY-COM。

详解：计算机病毒的分类

详解：计算机病毒的分类提⽰点上⽅↑'⿊客技术'免费订阅哦！从第⼀个病毒出世以来，究竟世界上有多少种病毒，说法不⼀。

⽆论多少种，病毒的数量仍在不断增加。

据国外统计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4 -6种/⽉的速度递增。

不过，孙悟空再厉害，也逃不过如来佛的⼿掌⼼，病毒再多，也逃不出下列种类。

病毒分类是为了更好地了解它们。

按照计算机病毒的特点及特性，计算机病毒的分类⽅法有许多种。

因此，同⼀种病毒可能有多种不同的分法。

1.按照计算机病毒攻击的系统分类 (1)攻击DOS系统的病毒。

这类病毒出现最早、最多，变种也最多，⽬前我国出现的计算机病毒基本上都是这类病毒，此类病毒占病毒总数的99%。

(2)攻击Windows系统的病毒。

由于Windows的图形⽤户界⾯(GUI)和多任务操作系统深受⽤户的欢迎， Windows 正逐渐取代DOS，从⽽成为病毒攻击的主要对象。

⽬前发现的⾸例破坏计算机硬件的CIH病毒就是⼀个Windows95/98病毒。

(3)攻击UNIX系统的病毒。

当前，UNIX系统应⽤⾮常⼴泛，并且许多⼤型的操作系统均采⽤ UNIX作为其主要的操作系统，所以UNIX病毒的出现，对⼈类的信息处理也是⼀个严重的威胁。

(4)攻击OS/2系统的病毒。

世界上已经发现第⼀个攻击OS/2系统的病毒，它虽然简单，但也是⼀个不祥之兆。

2.按照病毒的攻击机型分类 (1)攻击微型计算机的病毒。

这是世界上传染最为⼴泛的⼀种病毒。

(2)攻击⼩型机的计算机病毒。

⼩型机的应⽤范围是极为⼴泛的，它既可以作为⽹络的⼀个节点机，也可以作为⼩的计算机⽹络的主机。

起初，⼈们认为计算机病毒只有在微型计算机上才能发⽣⽽⼩型机则不会受到病毒的侵扰，但⾃1988年11⽉份Internet⽹络受到worm程序的攻击后，使得⼈们认识到⼩型机也同样不能免遭计算机病毒的攻击。

(3)攻击⼯作站的计算机病毒。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

引导型病毒的机理和解析引导型计算机病毒的机理和解析摘要：引导型病毒是什么，其技术发展，优缺点，特点以及来源，引导型病毒的机制，解析源于DOS高级版本以及Windows 9X的新型引导型病毒的结构，并提出引导型病毒的检测和防治方法。

关键词：引导区硬盘内存新型引导型病毒病毒结构防治计算机病毒是指在计算机程序中插入的破坏计算机功能或数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。

计算机病毒具有3个基本特性：感染性、潜伏性和表现性。

换句话来说计算机病毒是人为的特制程序或指令程序，具有自我复制能力，并有一定的潜伏性、特定的触发性和很大的破坏性。

计算机病毒的种类繁多，按感染方式分为：引导型病毒、文件感染病毒和混合型病毒。

引导型病毒感染硬盘主引导扇区或引导扇区以及软盘的引导扇区，如大麻、火炬、BREAK等病毒。

1 引导型病毒1.1 简介引导型病毒寄生在主引导区、引导区，病毒利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以引导型病毒寄生在主引导区、引导区，病毒利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。

引导型病毒进入系统，一定要通过启动过程。

在无病毒环境下使用的软盘或硬盘，即使它已感染引导区病毒，也不会进入系统并进行传染，但是，只要用感染引导区病毒的磁盘引导系统，就会使病毒程序进入内存，形成病毒环境。

1.2 计算机启动过程在分析引导型病毒之前，必须清楚正常的系统启动过程。

上电或复位后，ROM_BIOS的初始化程序完成相应的硬件诊断，并设置ROM_BIOS中断和参数，调用INT19H自举。

注意ROM_BIOS初始化程序已设置了BIOS中断。

对于硬盘启动，自举程序将硬盘物理第1扇（主引导记录）读到内存首址为0:7C00的区域处，开始执行硬盘主引导区程序，找到激活分区，并将该分区首扇（引导区）也读到0:7C00处（自身下移），然后转移到0:7C00处执行引导记录。

引导软盘启动，设有主引导记录，自举程序直接将A盘引导记录即A盘0面0道1扇区读到内存0:7C00处，执行引导记录。

引导记录引导操作系统，操作系统完成对输入/输出和内核等的初始化后，整个启动过程结束。

1.3 引导型病毒机制引导型病毒占据主引导扇区或引导扇区的全部或一部分，将分区表信息或引导记录移到磁盘的其他位置，并在文件分配表（FAT）中将这些信息标明为坏簇。

病毒在计算机引导时首先获取系统控制权，将病毒的主要部分调入内存并驻留在内存高端，修改常规内存容量大小字单元[0:413H]，将常规内存容量虚假减少，防止以后系统内存调度时覆盖占用内存高端的病毒体。

同时修改某些常用中断的中断向量，使之指向内存高端的病毒程序。

最后一条跳转指令转向主引导记录或引导记录的位置，将控制权交回系统以完成正常的系统启动工作。

以后只要调用这些中断，就会先执行常驻内存高端的病毒体，病毒搜索并感染其他可能有的磁盘，或执行病毒体的表现部分，破坏计算机系统的正常工作。

若不满足激发条件，病毒也可以继续潜伏，将系统控制权交回系统。

引导型病毒是在操作系统引导前就已驻留内存高端。

由于主引导记录和引导记录在系统启动结束后不再执行，因此引导型病毒必须修改中断向量，指向自己，才有被激活已完成感染，潜伏、破坏等功能的机会。

大多数引导型病毒会修改1NT 13H中断，当用户读写磁盘，如执行DIR、EDIT、Windows中列文件目录等命令时，就会执行1NT 13H，激活病毒体。

2 引导型病毒主要特点：引导型病毒是在安装操作系统之前进入内存，寄生对象又相对固定，因此该类型病毒基本上不得不采用减少操作系统所掌管的内存容量方法来驻留内存高端。

而正常的系统引导过程一般是不减少系统内存的。

引导型病毒需要把病毒传染给软盘，一般是通过修改INT 13H 的中断向量，而新INT 13H中断向量段址必定指向内存高端的病毒程序。

引导型病毒感染硬盘时，必定驻留硬盘的主引导扇区或引导扇区，并且只驻留一次，因此引导型病毒一般都是在软盘启动过程中把病毒传染给硬盘的。

而正常的引导过程一般是不对硬盘主引导区或引导区进行写盘操作的。

引导型病毒的寄生对象相对固定，把当前的系统主引导扇区和引导扇区与干净的主引导扇区和引导扇区进行比较，如果内容不一致，可认定系统引导区异常。

3 引导型病毒的优缺点：引导型病毒的优点：隐蔽性强，兼容性强，一个好的病毒程序是不容易被发现的，通用于DOS和Windows 95操作系统。

引导型病毒的缺点：很多，如传染速度慢，一定要带毒软盘启动才能传到硬盘，杀毒容易，只需改写引导区即可，如：fdisk/mbr,kv200/k。

KV200能查出所有引导型病毒，底板能对引导区写保护，所以现在纯引导型病毒已很少了。

在各种PC机病毒中，引导区型病毒并不是数量占多数的一类，但引导区型病毒往往具有较强的破坏性。

4 传统引导型病毒结构以引导型病毒感染软盘引导扇区为例，制作病毒母盘的主要步骤及其结构如下：（1）将A盘0面0道1扇区（引导记录）转移到2扇区，对于DOS系统启动盘，其0面0道2扇区为保留扇区，不会被其他磁盘文件覆盖。

对于Windows 9x启动盘，其0面0道2扇区不是保留扇区，因此应将引导记录转移到磁盘其他位置，如最后的扇区，并在FAT中标注此扇区为坏簇。

在debug下用13H中断1号读功能，将引导记录读到内存，再用2号写功能将引导记录写入0面0道2扇区。

这样该软盘的第2扇区保留一个正常的引导记录。

（2）将病毒代码写入0面0道1扇区，引导记录前3个字节是无条件转移指令，转移到boot程序入口处。

其后63个字节是磁盘驱动器参数表DBD及其它参数，再后是boot程序及有效标志，参数不必修改，病毒代码写到原boot程序处。

以后只要执行磁盘读写命令就会感染A盘。

若满足触发条件，则启动破坏模块。

5 新型引导病毒型病毒结构DOS 3.x及以上版本，Windows 9X等操作系统在计算机启动过程中与DOS低版本有所不同，当引导记录引导操作系统时，操作系统在初始化中为了扩充功能，扩展了大多数常用的BIOS中断，并修改了中断向量。

传统的引导型病毒在操作系统加载前就修改了13H等中断向量，使其指向驻留内存高端的病毒体。

而新的操作系统启动时将13H号等中断向量做了修改，不再指向病毒体。

病毒体虽然驻留在内存高端，但永远没有被激活的机会，所以不能进行传染和破坏。

通过对DOS 6.22和Windows 98操作系统引导前后中断向量表内容的比较发现，1A号、5号等少数中断向量没有变化。

BIOS初始化设置中断后，机器每秒自动调用18.2次1AH号中断。

因此新型引导型病毒修改该中断（短时期），新的1AH中断服务程序等待操作系统启动结束后，再修改13H中断，指向病毒体，然后恢复1AH中断。

下面以一个感染A盘的病毒样本为例，解析新型引导型病毒结构。

带毒系统软盘的0面0道1扇区（简称R扇区）存放病毒引导模块和修复后的1AH号中断服务程序。

0面3道12H扇区（简称P扇区）存放正常引导记录。

0面3道11H扇区（简称Q扇区）存放修改后的13H号中断服务程序，并在FAT表中将P、Q扇区标注为坏簇。

（1）病毒引导模块功能将R扇区内容移到内存高端并驻留；将Q扇区内容读入内存高端驻留；修改1AH号中断向量；读A盘FAT表将P、Q扇区标注为坏簇并写回；将P扇区内容（正常引导记录）读入0:7C00处，转移执行正常的引导记录。

（2）修改后的1AH号中断由于系统每秒自动调用18.2次1AH中断，因此可以将它作为软件定时器。

修改后的1AH中断服务程序检测对1AH中断的调用次数。

当达到预定次数时，即定时时间到，操作系统已启动完毕，修改13H号中断，然后恢复1AH原来的中断。

（3）修改后的13H号中断对磁盘进行读写操作的命令一般都调用13H号中断，修改后的13H号中断包括传染模块和破坏模块；先判断是否读写A盘。

若是，且没有病毒感染的标志则将A盘0面0道1扇区和Q扇区，然后执行正常的13H号中断服务程序；若不是读写A盘或A盘有感染标志，则判断是否满足破坏模块的触发条件（可用系统日期、时间或感染次数等），若满足则执行破坏模块，否则执行正常13H中断服务程序。

必须注意的是，在修改后的中断服务程序中读写磁盘时，不能简单地使用INT 13指令来调用13H号原来的中断服务程序，否则会导致死循环。

6 引导型计算机病毒的检测方法（1）常用的引导型病毒检测方法——特征串判别法。

引导型病毒为了避免重复传染，每种病毒均具有病毒程序自身的标志，当在BOOT扇区中找到病毒程序独特的标志后，就证明磁盘已感染该类操作系统型病毒。

特征代码被用于SCAN、CPAV等著名病毒检测工具中，国外专家认为特征串判别法是检测已知病毒的最简单、开销最小的方法。

此方法是针对在已知病毒特征串的前提下而采用的方法。

具体步骤如下：1.启动DEBUG,EXE。

2.将可疑盘的BOOT扇区装入内存。

3.用DEBUG的S命令搜索病毒特征串。

特征代码串具有检测准确、快速、误报警率低、可依据检测结果做杀毒处理等优点。

但它也具有不能检测未知病毒，在网络上效率低等缺点。

（2）内存容量检测法病毒为了延长其活动时间，以得到更多的传染机会，都要把自己驻留内存，并且使自己占用的内存空间不被用户程序和数据所覆盖，它只能改变系统内存的大小，使DOS“丢失”几K字节的内存，即病毒使DOS的管理范围缩小。

病毒则隐藏在这些“丢失”的单元里，长期起破坏作用。

引导型计算机病毒修改在内存0000；0413处存放的常规内存容量，使病毒代码可以常驻在被减去的那一块高端内存。

另外还有中断向量检测法和首指令检测法。

7 引导型计算机病毒的防治对引导型病毒的查杀通常有两种方法：（1）分析具体病毒的特征，根据特征判断当前引导扇区是否感染了病毒，是则清除之。

（2）采用智能方法，综合分析正确引导扇区的特征，对当前引导扇区加以分析判断，认定是否正常，若认为不正常，则设法恢复正常。

以上方法都存在不足，不能清除所有引导型病毒，而智能方法则有可能因误判而造成系统无法启动，对于在主引导扇区中不保留原分区表信息的引导型病毒，智能方法无法清除病毒，因为无法恢复风分区表信息。

这两种方法都要求用无毒软盘启动以防止收到病毒欺骗，因为为了防止其他程序改写病毒占据的引导扇区，有些病毒程序采取了伪装措施，在病毒程序控制下，外部程序对引导扇区的读写被改向到其它扇区，在那里存有被病毒保存的原引导扇区程序。