什麼是引導扇區病毒？

引導扇區病毒是一種特殊類型的病毒，以其被發現的位置命名。那將是軟盤的引導扇區或更現代的硬盤的主引導記錄。在某些情況下，它們可以感染所述硬盤的引導扇區而不是 MBR。

當磁盤或驅動器上的任何內容啟動時，構成病毒的代碼就會運行。換句話說，如果用戶試圖插入並使用受感染的硬盤，他們就會執行病毒。一旦加載，幾乎所有這些病毒都會將自身複製到其他可用和兼容的磁盤和驅動器上，因此如果一台計算機插入了四張乾淨的軟盤，並且添加並使用了第五張受感染的軟盤，那麼這五張可能最終都會被感染。

引導扇區病毒有什麼作用？

由於它們放置的方式和位置，引導扇區病毒最終會在它們所在的設備啟動或插入並打開時執行。它們是 BIOS 級別的感染，這意味著它們不需要任何特定的用戶交互（例如打開電子郵件或單擊不可靠的網站鏈接）來影響系統。

缺點是它們依賴 DOS 命令傳播。自 Windows 95 發布以來就沒有使用過 DOS，此時引導扇區病毒的使用迅速減少，因為它們不再有效。原始的引導扇區病毒在不使用/不理解 DOS 命令的現代計算機中是完全無害的——但是，該病毒的類型仍然存在於新的變種中。

現代引導扇區病毒

現代的等價物通常稱為“bootkit”，它會將自己寫入 MBR 或主引導記錄。這樣，它們就可以達到在啟動過程中儘早啟動的相同效果。這讓他們可以隱藏他們的存在和他們在其他進程後面所做的事情——而且，除了啟動機器之外，不需要用戶交互。

Bootkit 與可移動媒體不兼容——換句話說，雖然最初的引導扇區病毒在軟盤上大量繁殖，但 bootkit 並不是這樣工作的。例如，它們無法感染 U 盤——儘管它們可以存儲和傳輸到 U 盤上，但它們不會激活。其他病毒可以從可移動媒體（例如拇指驅動器）執行，但 bootkit 不能。

引導扇區病毒是什麼樣的？

與任何病毒一樣，它的外觀取決於創建它的人以及它要達到的目的。引導扇區始終必須分別將 0x55 和 0xAA 作為數據的最後兩個字節。如果沒有它們，計算機將拒絕完全啟動或至少顯示一條錯誤消息。此錯誤消息（或拒絕啟動）可能是引導扇區病毒的多個指示之一，但它並未提供有關病毒可能正在做什麼的任何特定線索。

如何識別引導扇區病毒

可以通過兩種不同的方式識別引導扇區病毒。首先，通過其行動。引導扇區病毒感染BIOS在啟動時加載的部分存儲介質。它還會主動感染連接到受感染計算機的所有其他存儲介質。值得記住的是，現代 bootkit 的工作方式略有不同，不會自動感染設備。識別引導扇區病毒的另一種方法是使用防病毒軟件。

注意：引導扇區病毒基本上已經過時，依賴於 DOS 時代的技術。這些操作系統的使用可能很少，尤其是遺留系統。現在尋找可以在這樣的操作系統上運行的防病毒產品將是一項挑戰。此外，如果有新的引導扇區病毒發布，可能沒有人會費心製作新的引導扇區病毒，但如果您找到要運行的防病毒程序，它們可能無法被充分分類以被檢測到。

如何擺脫引導扇區病毒

防病毒產品應該能夠相對快速地清除引導扇區病毒。但是，這是假設您可以找到適用於這種過時系統的防病毒產品，並且它可以檢測到病毒。更現代的 bootkit 可能極難檢測和刪除，因為它們會感染通常受限的內存區域。完全重新格式化驅動器可以解決這兩個問題。但是，此過程會擦除驅動器上的所有數據，因此並不理想。

理論上，bootkit 也有可能感染主板本身，特別是 UEFI BIOS。在這種情況下，刷新主板應該可以解決問題，但如果病毒在其他地方仍然存在，則可能不會。特別是如果病毒可以重新感染主板閃爍的圖像。消除任何病毒的 100% 萬無一失的方法是丟棄受感染的組件。那是你的硬盤、主板等，不一定是整台電腦。

結論

引導扇區病毒是 DOS 時代的經典類型。他們感染了存儲介質的引導扇區，並主動感染了任何其他可用存儲介質的引導扇區。引導扇區是 BIOS 首先加載的存儲設備部分。因此，惡意軟件立即啟動。

由於它們依賴於 BIOS 和 DOS 命令，因此在引入 Windows 時它們就消失了。現代版本稱為 bootkit。它的行為類似，感染調用操作系統的引導加載程序。這使得檢測或刪除變得非常困難，因為現代安全措施保護引導加載程序不被輕易訪問。