第2章引导型病毒分析
《第2章引导型病毒分析》由会员分享,可在线阅读,更多相关《第2章引导型病毒分析(37页珍藏版)》请在文档大全上搜索。
1、计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年6月1日第1页第第2章章 引导型病毒分析引导型病毒分析 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社教学目标教学重点教学过程计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年6月1日第2页教学目标教学目标l系统引导过程系统引导过程 l引导型病毒原理引导型病毒原理 l中断与中断程序设计中断与中断程序设计l清除病毒方法清除病毒方法计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年6月1日第3页2.1 预
2、备知识预备知识 磁盘数据结构磁盘数据结构 DOS启动过程启动过程 读写扇区方式读写扇区方式 程序常驻内存程序常驻内存 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年6月1日第4页2.1.1 2.1.1 硬盘的物理结构硬盘的物理结构l绝大多数硬盘在结构上都是温彻斯特绝大多数硬盘在结构上都是温彻斯特(Winchester)盘,其核心就是:磁盘片被密封、盘,其核心就是:磁盘片被密封、固定并且不停高速旋转,磁头悬浮于盘片上方沿固定并且不停高速旋转,磁头悬浮于盘片上方沿磁盘径向移动,并且不和盘片接触磁盘径向移动,并且不和盘片接触计算机病毒分析与防治教程计算机病毒
3、分析与防治教程 清华大学出版社清华大学出版社2022年6月1日第5页2.1.1 2.1.1 硬盘的物理结构硬盘的物理结构l低级格式化与硬盘的基本参数低级格式化与硬盘的基本参数 对于一块新硬盘,低级格式化的过程已经由生产厂家对于一块新硬盘,低级格式化的过程已经由生产厂家在产品出厂前完成了在产品出厂前完成了 低级格式化的主要目的是将盘面划分成磁道、扇区和低级格式化的主要目的是将盘面划分成磁道、扇区和柱面柱面计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年6月1日第6页2.1.1 2.1.1 磁盘数据结构磁盘数据结构 操作系统读操作系统读写磁盘的单写磁盘的单位
4、是扇区,位是扇区,文件分配的文件分配的基本单位是基本单位是簇簇计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年6月1日第7页2.1.1 2.1.1 硬盘的物理结构硬盘的物理结构l分区与高级格式化分区与高级格式化 硬盘在使用时,是按照不同的区域存储数据的,硬盘硬盘在使用时,是按照不同的区域存储数据的,硬盘分区就是划分区域的过程。划分好的每一个区域都称分区就是划分区域的过程。划分好的每一个区域都称作一个分区,最多可以划分为四个主分区。这项工作作一个分区,最多可以划分为四个主分区。这项工作由分区程序来完成,通常使用由分区程序来完成,通常使用FDISK或磁盘管理
5、工具或磁盘管理工具软件软件 在分区的过程中,分区程序向0柱面0磁头1扇区写入主引导记录MBR(Master Boot Record)和分区记录表DPT(Disk Partition Table),并建立一个分区表链,向所有的逻辑驱动器写入链表记录。 硬盘的分区格式常用的分区格式有四种:FAT16、FAT32、NTFS和Linux,其中使用最多的是FAT16和FAT32计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年6月1日第8页2.1.1 2.1.1 硬盘的物理结构硬盘的物理结构l分区与高级格式化分区与高级格式化 硬盘分区后还不能直接使用,要在每个分区内
6、建立完硬盘分区后还不能直接使用,要在每个分区内建立完整的存储系统后才能正常使用。建立存储系统的工作整的存储系统后才能正常使用。建立存储系统的工作一般由一般由FORMAT程序来完成,这个过程称为高级格式程序来完成,这个过程称为高级格式化化 高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目录表FDT(File Directory Table)和数据区DATA计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年6月1日第9页2.1.2 硬盘的数据结构硬盘的数据
7、结构l主引导扇区的组成主引导扇区的组成 主引导扇区主引导扇区(Boot Sector)也就是硬盘的第一个扇区也就是硬盘的第一个扇区(0柱面柱面0磁头磁头1扇区扇区) 主引导记录(Master Boot Record,MBR) 主分区表即磁盘分区表(Disk Partition Table,DPT) 引导扇区标记(Boot Record ID/Signature) 完成系统主板完成系统主板BIOS向操向操作系统交接的重要入口作系统交接的重要入口主引导扇区结构图主引导扇区结构图Master Boot Record主引导记录(466字节)分区表项1(16字节)分区表项2(16字节)分区表项3(16字
8、节)分区表项4(16字节)01FE 5501FF AA000001BD01BE01CD01CE01DD01DE01ED01EE01FD446引导标记2字节计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年6月1日第10页分区项表(16字节)内容及含义 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年6月1日第11页2.1.2 硬盘的数据结构硬盘的数据结构l硬盘主分区表结构简介硬盘主分区表结构简介偏移字节偏移字节字段长度字段长度值值字段名和定义字段名和定义0 x01BE0 x01BEBYTEBYTE0 x800 x80
9、引导指示符号引导指示符号(Boot Indicator) (Boot Indicator) 0 x01BF0 x01BFBYTEBYTE0 x010 x01起始磁头号起始磁头号(Start Head)(Start Head)0 x01C00 x01C0WORDWORD6 6位位0 x010 x01起始扇区号起始扇区号(Start Sector)(Start Sector)0 x01C10 x01C11010位位0 x000 x00起始柱面号起始柱面号(Start Cylinder)(Start Cylinder)0 x01C20 x01C2BYTEBYTE0 x070 x07系统系统ID(Sy
10、stem ID)ID(System ID),定义了分区的类型,定义了分区的类型0 x01C30 x01C3BYTEBYTE0 xFE0 xFE结束磁头号结束磁头号(End Head)(End Head)0 x01C40 x01C4WORDWORD6 6位位0 xBF0 xBF结束扇区号结束扇区号(End Sector)(End Sector)0 x01C50 x01C51010位位0 xFC0 xFC结束柱面号结束柱面号(End Cylinder)(End Cylinder)0 x01C60 x01C6DWORDDWORD0 x0000003F0 x0000003F相对扇区数相对扇区数(Rel
11、ative Sectors) (Relative Sectors) 0 x01CA0 x01CADWORDDWORD0 x00BB867E0 x00BB867E总扇区数总扇区数(Total Sectors)(Total Sectors),该分区中扇区总数,该分区中扇区总数计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年6月1日第12页2.1.3 扩展分区与扩展扩展分区与扩展MBR简介简介l通过主引导记录定义的硬盘分区表,最多通过主引导记录定义的硬盘分区表,最多只能描述只能描述4个分区个分区l微软采用虚拟微软采用虚拟MBR的技术的技术l用以描述分区的扇区形
