Загрузочные вирусы

Проанализируем схему функционирования очень простого загрузочного вируса, заражающего гибкие диски. Что происходит, когда вы включаете компьютер? Первым делом, управление передается программе начальной загрузки (ПНЗ), которая хранится в постоянном запоминающем устройстве (ПЗУ). Эта программа тестирует оборудование и при успешном завершении проверок пытается найти гибкий диск в дисководе А:. Всякий гибкий диск размечен на секторы и дорожки.

Секторы объединяются в кластеры. Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас пока интересует один - сектор начальной загрузки (boot-sector).

В секторе начальной загрузки хранится информация о гибком диске - количество поверхностей, количество дорожек, количество секторов и пр. Также в этом секторе хранится небольшая программа начальной загрузки, которая должна загрузить саму операционную систему и передать ей управление.

Таким образом, нормальная схема начальной загрузки следующая:

ПНЗ (ПЗУ) > ПНЗ (гибкий диск) > СИСТЕМА.

Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части - голову и хвост. Хвост, вообще говоря, может быть пустым. Пусть у вас имеются чистый гибкий диск и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва - в нашем случае не защищенный от записи и еще не зараженный гибкий диск, - он приступает к заражению. Заражая гибкий диск, вирус производит следующие действия: