标题引导型计算病毒原理

　　软盘的引导区在物理第一扇区，也称BOOT区，硬盘的引导区则分两部分，一部分是物理第一扇区的主引导区，另一部分是分区(对应逻辑盘)的引导区(BOOT区)。引导型病毒就是通过占据这些位置，在系统引导时获得控制权的。其存贮形式可分为以下两种。
　　■保留型：这类病毒在传 染磁盘引导区之前要保留原引导记录，将之转移到磁盘其它扇区，以备将来病毒初始化模块完成后仍由原引导记录完成系统正常引导。
　　■覆盖型：这类病毒在传染磁盘引导区时直接用自身代码覆盖原引导记录，而不保留备份，启动时由自身代码完成系统的引导。大多数病毒传染硬盘主引导区时都采用此方法，如“火炬”病毒，“Agusa”病毒等。有的病毒在传染软盘BOOT区时也采取直接覆盖法，如“Genb”病毒、“Esebug”病毒等。“Exebug”病毒由自身代码完成系统引导，而“Genb”病毒则转去由硬盘引导。
　　二、引导型病毒的驻留
　　引导型病毒被系统当作引导记录读入内存时，操作系统文件还没有被引导，为避免被覆盖，引导型病毒有以下几种驻留方法：1.驻留在内存高端；2.驻留在内存低端；3.其它驻留方法：从原理上讲，引导型病毒在启动过程中可先暂驻于任何空闲内存中，在系统引导过程某个时刻再最后定位。
　　三、引导型病毒的现象
　　从发现计算机病毒的角度来讲，引导型病毒主要有以下几类现象。
　　■病毒发作产生的现象：有些引导型病毒发作时有明显的现象，如软盘启动时屏幕上出现三把蓝底红火炬，则说明软盘、硬盘都感染了火炬病毒，且已有相当长的时间了。
　　■病毒驻留带来的现象：当使用CHKDSK或其它程序检查内存时发现内存减小，则很可能已有病毒驻留内存。
　　■病毒传染带来的现象：使用高密驱动器的用户有时会发现这样一个现象，即换盘后使用DIR命令列软盘目录时系统总显示同一张盘的目录。绝大多数引导型病毒都有此现象。