2、引导型病毒需要把病毒传染给软盘，一般是 通过修改INT 13H的中断向量，而新INT 13H 中断向量段址必定指向内存高端的病毒程序。
引导型病毒的主要特点2
3、引导型病毒感染硬盘时，必定驻留硬盘的 主引导扇区或引导扇区，并且只驻留一次。
因此引导型病毒一般都是在软盘启动过程中把 病毒传染给硬盘的。
D O S 主 引 导 程 序 流 程
MBR将自身（512字节）转 移到内存0000：0600H
跳转到0000:061DH（即转 移指令的下一条指令）继
续执行
SI指向分区表入口的第一个字 节（也即第一个分区入口） 设置需要检查的分区个数为4
该分区是否为活 动分区（标志80）？
N
该分区是否
为非活动分区
大麻病毒相关特征
大麻病毒很短小,仅1B8H字节的代码就完成 以下功能：
驻留内存 修改中断向量 感染软盘、感染硬盘 引导原硬盘主引导扇区 显示时机判断、显示信息以及大麻病毒感染标
志判断以防止重复感染
大麻病毒功能分析
对于软盘来说，病毒程序占用磁盘的引导扇区，而 将系统原引导扇区转移到l面0道3扇区，这一物理 扇区对于360KB的软盘来说，属于软盘根目录区的 最后一个扇区(逻辑0BH扇区)。
对于硬盘来说，病毒程序侵占了硬盘的主引导扇区， 而将原主引导扇区的内容转移到0柱0面7扇区
在内存中,大麻病毒占用了2KB内存,实际只占用了 1KB。
大麻病毒的感染特征
一个被感染“大麻”病毒的磁盘引导扇区， 一般有下列特征：
扇区开始的指令代码为：“EA0500C0”。 从扇区的18AH偏移地址开始有字符串：“Your
计算可用内存高端地 址，将病毒一到病毒高
端继续执行
修改INT 13H地址，指 向病毒传染段，将原 INT 13H地址保存在某
一单元
病毒任务完成，将原引导区调 入0：7C00H执行
机器正常引导
图4.1 硬盘带毒引导过程
带毒软盘引导
将病毒写入硬盘主 硬盘是否已染毒？ NO 引导区，并保存原
来主引导程序
YES
显示SI指向的错误 提示信息并挂起
比较分区结束标 志是否为55AA？ N
Y
跳转到0000：7C00H处 开始执行启动程序
5.1.2引导型病毒的主要特点1
1、引导型病毒是在安装操作系统之前进入内存， 寄生对象又相对固定，因此该类型病毒基本 上不得不采用减少操作系统所掌管的内存容 量方法来驻留内存高端。
《计算机病毒分析与对抗》第五讲
Dos病毒原理
武汉大学计算机学院 彭国军 guoj导区病毒 5.2文件型病毒 5.3混合型病毒
5.1 引导区病毒
所谓引导区病毒是指专门感染磁盘引导扇区 和硬盘主引导扇区的计算机病毒程序。
如果被感染的磁盘被作为系统启动盘使用，则 在启动系统时，病毒程序即被自动装入内存， 从而使现行系统感染上病毒。
一单元
病毒任务完成，将原引导区调 入0：7C00H执行
机器正常引导
图4.2 软盘带毒引导过程
5.1.4病毒修改后的INT 13中断功能
13号中断入口
是在读软盘吗？ N
Y
此软盘有毒吗？ Y
N
对该软盘进行感染
执行原INT13
5.1.5 大麻病毒特点
“大麻”病毒又名“石头”病毒，英文名称分别为 MarIJUANA和Stone，属于系统型的恶性病毒。
N
（标志00）？
Y
SI指向下一个分区入口 需要检查的分区个数-1
需要检查的分 区个数为0吗?
Y
跳到ROM BASIC （INT 18H）
保存分区入口地址
Y
保存分区引导扇区地址
（磁头号、驱动器号、磁
道号、扇区号）
SI指向下一个分区入口， 要检查的分区个数-1
需要检查的分
Y
区个数为0吗?
N
该分区是否
Y
为非活动分区
它专门感染软盘引导扇区和硬盘主引导扇区，破坏 软盘的文件目录表和硬盘的文件分配表，从而造成 磁盘文件的大量丢失，甚至于导致硬盘无法启动。
如果感染了“大麻”病毒的系统软盘启动系统，当 满足发作条件时，往往出现以下提示信息：
Your PC is now Stoned! LEGALISE MARIJUANA!
BIOS将软盘引导区 读到内存0：7C00H处 控制权转到主引导程序
将0：413H单元的值减少1K BIOS上机自检，将常规内存 大小存入0：413H，系统以 后不再访问最高段的1K内存
计算可用内存高端地 址，将病毒一到病毒高
端继续执行
修改INT 13H地址，指 向病毒传染段，将原 INT 13H地址保存在某
PC is now Stoned!。
保存INT 13H入口 使内存容量减小2K
“大麻”病毒引导模块执行流程
修改INT 13H指向 病毒程序传染模块
将病毒程序移至内存高端
是软盘启动？
N
Y
读原DOS引导记录
时钟计数是
引导型病毒是一种在ROM BIOS之后，系统 引导时出现的病毒，它先于操作系统，依托 的环境是BIOS中断服务程序。
5.1.1主引导记录
主引导记录是用来装载硬盘活动分区的 BOOT扇区的程序。
主引导记录存放于硬盘0道0柱面1扇区，长 度最大为一个扇区。
从硬盘启动时，BIOS引导程序将主引导记 录装载至0：7C00H处，然后将控制权交给 主引导记录。
（标志00）？
N
设置SI指向错误提示信息 “Invalid partition table”
设置尝试 次数为5次
读启动扇区到 0000:7C00H处
是否成功将
Y
启动扇区读入？
N
硬盘复位 尝试次数减1
N
尝试次数
是否为0?
设置SI指向错误提示信息 “Missing operation system”
Y
设置SI指向错误提示信息“Error loading operation system”
4、引导型病毒的寄生对象相对固定，把当前 的系统主引导扇区和引导扇区与干净的主引 导扇区和引导扇区进行比较，如果内容不一 致，可认定系统引导区异常。
5.1.3带毒系统引导过程
带毒硬盘引导
BIOS将硬盘主引导区 读到内存0：7C00H处 控制权转到主引导程序
将0：413H单元的值减少1K BIOS上机自检，将常规内存 大小存入0：413H，系统以 后不再访问最高段的1K内存