自2010年鬼影病毒問世以來,可謂是開創了一類新型惡意軟件編寫的 先河。經過兩年多的發展,鬼影病毒“繁衍”了一代又一代,形成了特性鮮明的鬼影家族系列。之所以稱之為鬼影病毒,主要是因為該病毒寄生在磁盤主引導記錄 (MBR)當中,即使格式化硬盤,甚至重裝系統,也無法將其完全清除,猶如“鬼影”一般附身於計算機中“陰魂不散”,令人十分惱火。
鬼影病毒是近年來較為罕見的技術型病毒,病毒作者具有高超的編程技巧。該病毒一旦進入電腦,就像惡魔一樣,隱藏在系統之外,並早於操作系統內核先加載, 所以哪怕是重做了系統,只要MBR沒重寫,病毒就仍然存在。鬼影病毒目前已發展到第六代,已出現多個變種,且每個變種的行為都不盡相同,但它們都有一個共 性,就是修改MBR。
MBR,全稱為Master Boot Record,即硬盤的主引導記錄。位於硬盤的0柱面0磁道1扇區,不屬於任何一個操作系統,是計算機通電開機、主板自檢完成後,訪問硬盤時必須讀取的首 個扇區。主引導扇區中記錄著硬盤本身的相關信息以及硬盤各個分區的大小和位置信息,是數據信息的重要入口。如果它受到破壞,硬盤上的基本數據結構信息將會 丟失,需要用繁瑣的方式試探性的重建數據結構信息後,才可能重新訪問原先的數據。
主引導扇區的讀取流程如下:
1. BIOS加電自檢;
2. 讀取MBR,當BIOS檢查到硬件正常並與CMOS中的設置相符後,按照CMOS中對啟動設備的設置順序檢測可用的啟動設備;
3. 檢查MBR的結束標志位是否等於55AAH,若不等於則轉去嘗試其他啟動設備,如果沒有啟動設備滿足要求,則顯示"NO ROM BASIC",然後死機;
4. 當檢測到有啟動設備滿足要求後,BIOS將控制權交給相應啟動設備;
5. 根據啟動設備的MBR中的引導代碼啟動引導程序。
通過上述流程可以看出,MBR對於操作系統來說是多麼重要,一旦被破壞或被病毒惡意修改,對於系統來說都是致命的。因鬼影病毒而興起的MBR- Rootkit技術顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢,也算是具有劃時代的意義。本文介紹的是鬼影家族的第三代產品,具有一定代表 性。