Khó khăn trên đ−ợc B - virus giải quyết ổn thỏa theo hai h−ớng: cất Boot record lên một vị trí xác định trên mọi đĩa và chấp nhận mọi rủi ro mất mát Boot sector (do bị ghi đè) dù tất nhiên chỗ cất dấu này có khả năng bị ghi đè thấp nhất. H−ớng này đơn giản và do đó ch−ơng trình th−ờng không lớn. Chỉ dùng một sector thay chỗ Boot record và do đó đ−ợc gọi là SB - virus (Single B - virus). Mặt khác, có thể cất Boot sector này vào một nơi an toàn trên đĩa, tránh khỏi mọi sai lầm, mất mát có thể xảy ra. Vì kích th−ớc vùng an toàn có thể định vị bất kì nên ch−ơng trình virus th−ờng chiếm trên nhiều sector và đ−ợc chia thành hai phần: một phần trên Boot record, một trên đĩa (trên vùng an toàn). Vì đặc điểm này, nhóm này đ−ợc gọi là DB - virus (Double B - virus).
1/ SB - virus: Do tính dễ di chấp nhận mọi mất mát nên ch−ơng trình ngắn gọn chỉ chiếm đúng một sector. Thông th−ờng, SB - virus chọn nơi cất đấu Boot là những nơi mà khả năng bị ghi lên là ít nhất.
Đối với đĩa mềm, các nơi th−ờng đ−ợc chọn là:
+ Nh− độc giả cũng biết, ít khi nào ta khai thác hết số entry trên th− mục gốc, trong khi đó DOS còn khuyến khích chúng ta dùng cấu trúc th− mục con để tạo cấu trúc cây cho dễ quản lí. Chính vì lí do này, số entry ở những sector cuối Root Dir th−ờng không đ−ợc dùng đến và những sector này là nơi lí t−ởng để cất giấu Boot record.
+ Khi phân phối cluster cho một file nào, DOS cũng bắt đầu tìm cluster trống từ đầu vùng data căn cứ vào entry của nó trên FAT, do đó, những sector cuối cùng trên đĩa cũng khó mà bị ghi đè lên. Đây cũng là nơi lí t−ởng để cất giấu Boot record.
Đối với đĩa cứng, mọi chuyện xem ra lại đơn giản. Trên hầu hết các đĩa cứng, track 0 chỉ chứa Partition table (cho dù đĩa chỉ có 1 partition) trên sector 1, còn những sector còn lại trên track này đều không đ−ợc dùng đến. Do đó, các SB - virus và hầu hết DB - virus đều chọn nơi này làm chốn ‘n−ơng thân’.
2/ DB -virus: Một sector với kích th−ớc 512 byte (do DOS quy định) không phải là quá rộng ri cho những tay hacker nhiều tham vọng. Nh−ng việc mở rộng kích th−ớc không phải là dễ dàng, họ cũng đ giải quyết bằng cách đặt tiếp một Boot record ‘giả’ lên sector 1, track 0, Side 0. Boot record này có nhiệm vụ tải ‘hệ điều hành’ virus vào bên trong vùng nhớ rồi trao quyền. Sau khi cài đặt xong, ‘hệ điều hành’ mới tải Boot record thật vào. ‘Hệ điều hành‘ này phải nằm ở một ‘partition’nào đó ngay trong lòng DOS hay từ một phần khác trên đĩa cứng. Cách giải quyết này có thể là:
Đối với đĩa cứng: những sector sau Partition table sẽ là chốn n−ơng thân an toàn hoặc giải quyết t−ơng tự nh− với đĩa mềm.
Đối với đĩa mềm: qua mặt DOS bằng cách dùng những cluster còn trống để chứa ch−ơng trình virus. những entry t−ơng ứng với các cluster này trên FAT ngay sau đó sẽ bị đánh dấu ‘Bad cluster’ để DOS không còn ngó ngàng đến nữa. Ph−ơng pháp này tỏ ra hữu hiệu vì số l−ợng cluster đ−ợc dùng chỉ bị hạn chế bởi số l−ợng cluster tối đa của đĩa cứng còn dùng đ−ợc. Tuy nhiên, chính mặt mạnh này cũng là mật yếu của nó: dễ bị phát hiện bởi bất kì một phần mềm DiskMap (PCTOOLS, NDD ....). Cho dù thế nào đi nữa ph−ơng pháp này vẫn đ−ợc −a chuộng cho các loại DB - virus vì tính t−ơng thích với mọi loại ổ đĩa.
Ph−ơng pháp thứ hai có nhiều tham vọng hơn: v−ợt ra khỏi tầm kiểm soát của DOS bằng cách tạo thêm một track mới tiếp theo track cuối mà DOS đang quản lí (chỉ áp dụng đối với đĩa mềm). Một đĩa 360Kb có 40 track đ−ợc đánh số từ 0 đến 39 sẽ đ−ợc tạo thêm một track số 40 chẳng hạn. Điều này cũng tạo cho virus một khoảng trống rất lớn trên đĩa (9sector*1/2Kb = 4, 5Kb). Tuy thế, ph−ơng pháp này đ tỏ rõ nh−ợc điểm của nó trên các loại ổ đĩa mềm khác nhau. Các bộ điều khiển đĩa mềm khác nhau có thể có hoặc không có khả năng quản lí thêm track. Do đó, đ tạo ra lỗi đọc đĩa khi virus tiến hành lây lan (đĩa kêu cót két).
www.updatesofts.com
Cho dù là loại SB - virus hay DB - virus đi nữa, cấu trúc bên trong của chúng vẫn nh− nhau. Để có thể có cái nhìn đúng đắn về virus, chúng ta sẽ bắt đầu khảo sát B - virus bằng cách phân tích cấu trúc của nó.