MBR病毒分析

MBR病毒分析 一、基础知识 1、 Windows启动过程 系统引导过程主要由以下几个步骤组成(以硬盘启动为例) 1、 开机; 2、 BIOS加电自检(POST---Power On Self Test),内存地址为0fff:0000; 3、 将硬盘第一个扇区(0头0道1扇区,也就是Boot Sector)读入内存地址0000:7c00处; 4、 检查(WORD)0000:7dfe是否等于0xaa55.若不等于则转去尝试其他介质;如果没有其他启动介质,则显示 ”No ROM BASIC” ,然后死机; 5、 跳转到0000:7c00处执行MBR中的程序; 6、 MBR先将自己复制到0000:0600处,然后继续执行; 7、 在主分区表中搜索标志为活动的分区.如果发现没有活动分区或者不止一个活动分区,则停止; 8、 将活动分区的第一个扇区读入内存地址0000:7c00处; 9、 检查(WORD)0000:7dfe是否等于0xaa55,若不等于则显示 “Missing Operating System”,然后停止,或尝试软盘启动; 10、 跳转到0000:7c00处继续执行特定系统的启动程序; 11、 启动系统. 以上步骤中(2),(3),(4),(5)步由BIOS的引导程序完成;(6),(7),(8),(9),(10)步由MBR中的引导程序完成. Windows启动过程主要由以下几个步骤组成，其中vista和win7可一概而论 ### MBR病毒分析知识点 #### 一、基础知识：MBR与Windows启动过程 **1. Windows启动过程** 在深入MBR病毒分析之前，我们首先来了解Windows系统的启动过程，这有助于我们更好地理解MBR病毒的工作原理及其对系统的影响。 1. **开机**: 当计算机开机时，电源供应至各个硬件部件，准备进行自检。 2. **BIOS加电自检（POST—Power On Self Test）**: BIOS执行加电自检，检查硬件设备是否正常工作。此时，内存地址设置为0fff:0000。 3. **读取硬盘第一个扇区**: BIOS将硬盘的第一个扇区（即0头0道1扇区，也称为Boot Sector或MBR）读入内存地址0000:7c00处。 4. **检查标志**: BIOS检查内存地址0000:7dfe处的标志是否为0xaa55。如果不等于该值，则BIOS会尝试其他启动介质；如果没有其他启动介质，则会显示“无ROM BASIC”，然后死机。 5. **跳转并执行MBR**: 如果检查通过，BIOS会跳转到0000:7c00处执行MBR中的代码。 6. **MBR自我复制**: MBR首先将自身复制到内存地址0000:0600处，然后继续执行。 7. **查找活动分区**: MBR会在主分区表中搜索标志为活动的分区。如果没有找到活动分区或存在多个活动分区，则MBR会停止执行。 8. **读取活动分区**: 找到活动分区后，MBR会将该分区的第一个扇区读入内存地址0000:7c00处。 9. **再次检查标志**: 再次检查内存地址0000:7dfe处的标志是否为0xaa55。如果不等于该值，则会显示“Missing Operating System”，然后停止执行，或尝试从软盘启动。 10. **执行特定系统的启动程序**: 如果检查通过，MBR会跳转到0000:7c00处继续执行特定操作系统的启动程序。 11. **启动系统**: 最终，操作系统被加载并启动。 在上述过程中，步骤2、3、4、5是由BIOS的引导程序完成的，而步骤6至10则是由MBR中的引导程序完成的。 #### 二、MBR结构解析 MBR（Master Boot Record）位于硬盘的第一个扇区，大小为512字节。它包含了引导程序和磁盘分区表两部分。 1. **引导程序**: 占用446字节，负责查找活动分区并将其加载到内存中执行。 2. **磁盘分区表**: 占用64字节，分为四个分区条目，每个条目16字节，用于记录磁盘的分区信息。 MBR的结构如下所示： - 0000H - 00D9H (446字节): 引导程序 - 00DAH - 00FDH (64字节): 分区表 - 00FDE - 00FDH (2字节): 结束标志 (0xAA55) #### 三、MBR病毒分析 MBR病毒是一种通过感染MBR来实现其目的的恶意软件。它们通常利用以下机制： 1. **替换MBR**: MBR病毒会替换掉原有的MBR，插入自己的代码。这意味着当计算机启动时，病毒代码会被优先执行。 2. **隐藏自身**: 为了躲避检测，MBR病毒通常会采用各种技术来隐藏其存在。例如，将病毒代码存储在MBR中未使用的空间里。 3. **传播**: MBR病毒可以在计算机之间传播。当用户从一台受感染的计算机启动另一台计算机时，如果该计算机使用相同的硬盘或磁盘，则可能会导致病毒传播。 #### 四、MBR病毒的具体攻击方式 1. **破坏分区信息**: MBR病毒可能会修改或删除磁盘分区表中的信息，导致数据丢失或不可访问。 2. **篡改启动流程**: 通过修改MBR中的引导程序，病毒可以改变系统的启动顺序，从而实现其恶意目的。 3. **加载恶意代码**: 病毒可以在启动过程中加载额外的恶意代码，进一步危害系统安全。 #### 五、MBR病毒防范措施 为了防止MBR病毒的侵害，可以采取以下措施： 1. **安装杀毒软件**: 使用可靠的安全软件定期扫描系统，检测并清除潜在的威胁。 2. **备份重要数据**: 定期备份重要文件，以防万一发生数据丢失的情况。 3. **禁用自动运行**: 避免在未知来源的介质上启用自动运行功能。 4. **更新操作系统**: 及时更新操作系统和应用程序，确保获得最新的安全补丁。 通过以上分析可以看出，MBR病毒通过对Windows启动过程的干预，能够实现隐蔽性高、传播能力强等特点，给用户的计算机安全带来了严重威胁。因此，了解MBR病毒的工作原理及防范措施对于保护个人计算机安全至关重要。