计算机病毒,按其传染方式,可分为三大类;引导型计算机病毒,文件型计算机病毒,混合型计算机病毒。
引导型计算机病毒是指既传染硬盘主引导区,又传染DOS的BOOT区的计算机病毒,它一般传染硬盘BOOT区、软盘BOOT区、硬盘分区表,它不附在某一文件中,而在磁盘引导区中;文件型计算机病毒是指传染操作系统文件的病毒(感染文件),这种病毒它附在我们计算机中的文件当中,使文件发生改变;还有一种病毒是既传染磁盘的引导区又传染可执行文件的计算机病毒,既混合型计算机病毒。
对病毒分类有所了解后,我们现在专门针对引导型病毒提供一个全方位的解决方法,我们可以利用DOS操作系统带的DEBUG程序,对引导型病毒所感染的硬盘主引导扇区、硬盘BOOT扇区、硬盘FAT表、文件目录进行备份保存,当病毒感染发作时,重新回写硬盘主引导扇区、硬盘BOOT扇区、硬盘FAT表、根目录,这样能覆盖掉已有病毒,并且能恢复硬盘数据。
使用DEBUG保存硬盘主引导扇区,具体操作如下:
A:\>debug ;(启动debug)
-a100 ;输入汇编程序
1E6C:0100 mov ax,0201 ;读一个扇区
1E6C:0103 mov bx,1000 ;缓存区地址=1000H
1E6C:0106 mov cx,1 ;读0柱1扇区
1E6C:0109 mov dx,80 ;读C盘0头
1E6C:010C int 13
1E6C:010E ^C ;CTRL+C,结束输入
-g=100 10e ;执行程序
AX=0050 BX=1000 CX=0001 DX=0080 SP=FFEE BP=0000 SI=0000 DI=0000
DS=1E6C ES=1E6C SS=1E6C CS=1E6C IP=010E NV UP EI PL NZ NA PO NC
1E6C:010E E82EFB CALL FC3F ;注意进位标志必须是NC
-d1000 ;查看主引导扇区头部
-d1180 ;查看主引导扇区尾部
-nbingdu.com ;指定文件名为bingdu.com
-rcx ;指定写入长度为200H字节
CX 0001
:200
-rbx
BX 1000
:0
-w1000 ;写入
Writing 00200 bytes
-q ;退出debug
当发现病毒改写或覆盖了硬盘的主引导扇区,将上面我们保存的bingdu.com回写到硬盘中。
回写硬盘主引导扇区
A>debug bingdu.com ;启动debug,读原硬盘主引导区数据到100H处
-a1000 ;输入回写硬盘主引导扇区的汇编程序
mov ax,0301
mov bx,100
mov cx,1
mov dx,80
int 13
^C ;用CTRL+C结束输入
-G=1000 100E ;回写,注意进位标志为NC表示成功,否则失败。
