针对引导型病毒的防范措施
引导型病毒主要是感染磁盘的引导扇区,也就是常说的磁盘的BOOT区。在使用被感染的磁盘(无论是软盘还是硬盘)启动计算机时它们就会首先取得系统控制权,驻留内存之后再引导系统,并伺机传染其他软盘或硬盘的引导区。纯粹的引导型病毒一般不对磁盘文件进行感染。感染了引导型病毒后,引导记录会发生变化。当然,通过一些防杀病毒软件可以发现引导型病毒,在没有防杀病毒软件的情况下可以通过以下一些方法判断引导扇区是否被病毒感染:
(1)先用可疑磁盘引导计算机,引导过程中,按F5键跳过CONFIG.SYS和AUTOEXEC.BAT中的驱动程序和应用程序的加载,这时用MEM和MI等工具查看计算机的空余内存空间的大小,再用与可疑磁盘上相同的版本的、未感染病毒的DOS系统软盘启动计算机,启动过程中,按F5键跳过CONFIG.SYS和AUTOEXEC.BAT中的驱动程序和应用程序的加载,然后用MEM和MI等工具查看并记录下计算机空余内存空间的大小,如果上述2次的空余内存空间大小不一致,则可疑磁盘的引导扇区肯定已被引导型病毒感染。
(2)用硬盘引导计算机,运行DOS中的MEM,可以查看内存分配情况,尤其要注意常规内存的总数,一般为640KB,装有硬件防杀病毒芯片的计算机有的可能为639KB。如果常规内存总数小于639KB,那么引导扇区肯定被感染上引导型病毒。
(3)机器在运行过程中刚设定好的时间、日期,运行一会儿被修改为缺省的时间、日期,这种情况下,系统很可能带有引导型病毒。
(4)在开机过程中,CMOS中刚设定好的软盘配置(即1.44MB或1.2MB),用"干净的"软盘启动时一切正常,但用硬盘引导后,再去读软盘则无法读取,此时CMOS中软盘设定情况为None,这种情况肯定带有引导型病毒。
(5)硬盘自引导正常,但用"干净的"DOS系统软盘引导时,无法访问硬盘,如C盘(某些需要特殊的驱动程序的大硬盘和FAT32,NTFS等特殊分区除外),这种情况也肯定感染上了引导型病毒。
(6)系统文件都正常,但Windows95/98系统经常无法启动,这有可能是感染上了引导型病毒。
上述介绍的仅是常见的几种情况。计算机被感染了引导型病毒,最好用防杀病毒软件加清除,或者在"干净的"系统启动软盘引导下,用备份的引导扇区覆盖。
预防引导型病毒,通常采用以下一些方法:
(1)坚持从不带病毒的硬盘引导系统。
(2)安装能够实时监控引导扇区的防杀病毒软件,或经常用能够查杀引导型病毒的防杀病毒软件进行检查。
(3)某些底板上提供引导扇区病毒保护功能(Virus Protect),启用它对系统引导扇区也有一定的保护作用。不过要注意的是启用这项功能可能会造成一些需要改写引导扇区的软件(如Windows 95/98,Windows NT以及多系统启动软件等)安装失败。