6.1.6 恶性系统型病毒-固化病毒

6.1.6 恶性系统型病毒-固化病毒
　　固化病毒是一种恶性的操作系统型病毒，它对计算机的危害比其它几种系统型病毒都大。这种病毒感染计算机系统后没有象小球病毒那样具有明显的屏幕现象，也没有在它感染的磁盘上标有坏扇区标志，只是偶尔在开机时屏幕上出现Your PC is now Stoned 的信息。因而，它的隐蔽性更大，使得发现它时，已感染了许多的软盘，借助这些软盘又感染了许多的计算机系统。
　　该病毒将自己写在0磁头0磁道1扇区(无论对软盘或硬盘)，而将磁盘原0头0道1扇区的内容存放在盘的某一系统区位置，如果该区位置正好与DOS使用区重合。将会不同程度地破坏原系统0头0道1扇区的内容。使得机器不能启动，只有重新分区后才能消除病毒，对于某些硬磁盘，由于日头0道1房区存放的是分区表，致使磁盘数据丢失。 这种病毒的传染过程，对非C盘的感染与小球病毒一样。只要对某一盘进行读操作，就可能将病毒传染到该盘上，而C盘的感染则不同，只要用带毒盘启动，不需作任何操作，病毒即可传染到C盘上。
　　有的计算机染上固化病毒后仍正常运行，有的则应了病毒程序中的一句话:“Your PC is now stoned”--给固化了。这其中的原因是，被染上固化病毒的系统，主引导块被搬往1头1道3扇区，对于使用3.0以下DOS版本构造的开工硬盘，1头1道3扇区是第一个FAT中的一个扇区，而原主引导块的位置被固化病毒程序所占领(如图6-3所示)。主引导被移往文件分配表后，计算机系统仍将其中的0字节当作代表未被占用的簇对待。这些主引导中的0字节有的有用，有的无用；当计算机系统一直往这些无用的字节填写文件簇链时，计算机系统可以是运行如常，但一当有用的0字节被填写上非0代码时，计算机即不能在硬盘启动。这种死机现象是固化病毒感染后的必然结果，只是迟早而已。
　　图6-4是固化病毒的工作流程，可参照其程序注释了解其工作过程。