第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt

上传人:王** 文档编号:595866 上传时间:2023-12-08 格式:PPT 页数:64 大小:980.50KB
下载 相关 举报
第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt_第1页
第1页 / 共64页
第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt_第2页
第2页 / 共64页
第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt_第3页
第3页 / 共64页
第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt_第4页
第4页 / 共64页
第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt_第5页
第5页 / 共64页
第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt_第6页
第6页 / 共64页
第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt_第7页
第7页 / 共64页
第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt_第8页
第8页 / 共64页
第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt_第9页
第9页 / 共64页
第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt_第10页
第10页 / 共64页
亲,该文档总共64页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt》由会员分享,可在线阅读,更多相关《第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt(64页珍藏版)》请在优知文库上搜索。

1、第第4章章 计算机病毒寄生环境分析计算机病毒寄生环境分析4.1 磁盘引导区结构磁盘引导区结构4.2 com文件结构文件结构4.3 exe文件结构文件结构4.4 PE文件结构文件结构4.5 VxD文件结构文件结构4.6 其他可感染病毒存储介质结构其他可感染病毒存储介质结构4.7 系统的启动与加载系统的启动与加载4.8 BIOS与与DOS的中断的中断4.9 计算机病毒与系统安全漏洞计算机病毒与系统安全漏洞习题习题主引导扇区,或称为主引导记录(主引导扇区,或称为主引导记录(MBR)是物理)是物理硬盘的第一个扇区,其位置在硬盘的硬盘的第一个扇区,其位置在硬盘的0柱面柱面0磁头磁头1扇区。扇区。MBR中

2、包含了主引导程序和硬盘分区表。当中包含了主引导程序和硬盘分区表。当MBR中感染病毒后,病毒程序将替代主引导程序,原中感染病毒后,病毒程序将替代主引导程序,原来的主引导程序通常被转移到其他地方。来的主引导程序通常被转移到其他地方。4.1 磁盘引导区结构磁盘引导区结构 4.1.1 主引导扇区主引导扇区基于基于DOS的主引导扇区包含经典的主引导程序,的主引导扇区包含经典的主引导程序,具有最好的兼容性,可在各种具有最好的兼容性,可在各种DOS和和Windows版版本正常工作。如果主引导扇区感染了病毒,可以本正常工作。如果主引导扇区感染了病毒,可以使用基于使用基于DOS的主引导程序覆盖之,可消除病毒。的

3、主引导程序覆盖之,可消除病毒。可以使用可以使用DEBUG编写一段小程序来读出主引导扇编写一段小程序来读出主引导扇区,程序如下:区,程序如下:-U 100138A:0100 B80102 MOVAX,0201;读读1个扇区个扇区138A:0103 BB007C MOVBX,7C00;读到当前段的读到当前段的7C00处处138A:0106 B90100 MOVCX,0001;0柱面柱面1扇区扇区138A:0109 BA8000 MOVDX,0080;第一个物理硬盘第一个物理硬盘0磁头磁头138A:010C CD13INT 13;读盘中断调用读盘中断调用138A:010E CCINT 3-某物理硬盘

4、的主引导扇区的内容如图某物理硬盘的主引导扇区的内容如图4.1所示。所示。图图4.1 经典主引导扇区数据经典主引导扇区数据从图从图4.1中可以看出,主引导程序范围在中可以看出,主引导程序范围在7C007C8A,接着是数据区。中间有很大一部分,接着是数据区。中间有很大一部分数据是数据是00。7DBE至至7DFD之间为之间为4个分区表,每个分区表占用个分区表,每个分区表占用16B。图。图4.1中只有一个分区表有数据,其余中只有一个分区表有数据,其余3个全个全为为00。主引导扇区最后两个字节。主引导扇区最后两个字节55AA是已分区的是已分区的标志。分区表的标志。分区表的16B数据结构如表数据结构如表4

5、.1(见书(见书95页)页)所示。所示。可以从图可以从图4.1中的程序区(中的程序区(008A)反汇编出主引导)反汇编出主引导程序如下:程序如下:-U7C00 7C8A138A:7C00FACLI;关中断关中断138A:7C0133C0 XOR AX,AX138A:7C038ED0 MOV SS,AX138A:7C05BC007C MOV SP,7C00 ;设置堆栈到设置堆栈到0:7C00138A:7C088BF4 MOV SI,SP138A:7C0A 50PUSH AX138A:7C0B 07POPES;设置设置ES、DS段为段为0138A:7C0C 50PUSH AX138A:7C0D1F

6、POPDS138A:7C0EFBSTI;开中断开中断138A:7C0FFCCLD138A:7C10BF0006MOV DI,0600138A:7C13B90001MOV CX,0100138A:7C16F2REPNZ;把主引导扇区从内存把主引导扇区从内存0:7C00转移到转移到0:0600138A:7C17A5MOVSW138A:7C18EA1D060000 JMP0000:061D;跳转到跳转到0:061D继续执行(转移后的下一条指令执行)继续执行(转移后的下一条指令执行)138A:7C1DBEBE07MOV SI,07BE;指向第一个硬盘分区表指向第一个硬盘分区表138A:7C20B304

7、MOV BL,04;设置分区表总个数为设置分区表总个数为4138A:7C22803C80 CMP BYTE PTR SI,80;测试分区是否活动测试分区是否活动138A:7C25740EJZ 7C35;是活动分区转移是活动分区转移138A:7C27803C00 CMP BYTE PTR SI,00138A:7C2A751C JNZ 7C48;分区表标志非法转分区表标志非法转移移138A:7C2C83C610 ADDSI,+10;指向下一个分区表指向下一个分区表138A:7C2FFECB DEC BL138A:7C3175EF JNZ 7C22;没有检查完,从头继续检查下一个分区表没有检查完,从

8、头继续检查下一个分区表138A:7C33CD18 INT 18;没有找到活动分区,则寻找其他引导设备没有找到活动分区,则寻找其他引导设备138A:7C358B14MOV DX,SI;将活动分区首扇区地址放入将活动分区首扇区地址放入DX和和CX中中138A:7C378B4C02MOV CX,SI+02138A:7C3A8BEE MOV BP,SI138A:7C3C83C610 ADD SI,+10;指向活动分区表之后的分区表指向活动分区表之后的分区表138A:7C3FFECB DEC BL138A:7C41741A JZ7C5D;4个分区表检查完转移个分区表检查完转移138A:7C43803C0

9、0 CMP BYTE PTR SI,00;检查后续分区表标志字节是否合法检查后续分区表标志字节是否合法138A:7C4674F4JZ 7C3C;分区表标志合法,则继续分区表标志合法,则继续138A:7C48BE8B06 MOV SI,068B;非法分区表则给出提示非法分区表则给出提示“Invalid partition table.”138A:7C4BACLODSB138A:7C4C3C00 CMP AL,00138A:7C4E740BJZ7C5B;显示完后跳入死循显示完后跳入死循环环138A:7C5056PUSH SI138A:7C51BB0700MOV BX,0007138A:7C54B4

10、0E MOV AH,0E138A:7C56CD10 INT 10;显示显示AL中的字符中的字符138A:7C585EPOP SI138A:7C59EBF0 JMP7C4B;继续处理下一个字符继续处理下一个字符138A:7C5BEBFE JMP7C5B;死循环死循环138A:7C5DBF0500 MOV DI,0005;设置读入活动分区引导扇区的次数为设置读入活动分区引导扇区的次数为5138A:7C60BB007C MOV BX,7C00138A:7C63B80102 MOV AX,0201138A:7C6657PUSH DI138A:7C67CD13 INT 13;把活动分区的引导扇区读入内存

11、把活动分区的引导扇区读入内存0:7C00138A:7C695FPOP DI138A:7C6A730C JNB 7C78;读引导成功读引导成功转移转移138A:7C6C33C0 XOR AX,AX;读引导失败读引导失败138A:7C6ECD13 INT 13;复位驱动器复位驱动器138A:7C704FDEC DI138A:7C7175ED JNZ 7C60;再次读活动分区的引导扇区再次读活动分区的引导扇区;读引导扇区失败,给出提示读引导扇区失败,给出提示“Error loading operating system”后跳入死循环。后跳入死循环。138A:7C73BEA306 MOV SI,06A

12、3138A:7C76EBD3 JMP7C4B;读引导扇区成功,再检查主引导扇区的末尾标志是否为读引导扇区成功,再检查主引导扇区的末尾标志是否为55AA。不是则给出提示。不是则给出提示“Missing operating system”后跳后跳入死循环;是入死循环;是55AA则跳转到则跳转到0:7C00执行刚刚读入的活动分执行刚刚读入的活动分区引导程序。区引导程序。138A:7C78BEC206MOV SI,06C2138A:7C7BBFFE7DMOV DI,7DFE138A:7C7E813D55AACMP WORD PTR DI,AA55138A:7C8275C7 JNZ7C4B138A:7C

13、848BF5 MOV SI,BP138A:7C86EA007C0000 JMP 0000:7C00主引导程序由主引导程序由BIOS引导装入到内存引导装入到内存0:7c000,并从,并从此执行。主引导程序检查硬盘分区表,寻找活动此执行。主引导程序检查硬盘分区表,寻找活动分区。如果没有找到活动分区,则在屏幕上给出分区。如果没有找到活动分区,则在屏幕上给出提示后跳入死循环;找到活动分区,则读入活动提示后跳入死循环;找到活动分区,则读入活动分区的逻辑引导扇区,如果读入成功,则执行活分区的逻辑引导扇区,如果读入成功,则执行活动分区的引导程序,否则给出提示后跳入死循环。动分区的引导程序,否则给出提示后跳入

14、死循环。硬盘活动分区的引导扇区或系统软盘的引导扇区硬盘活动分区的引导扇区或系统软盘的引导扇区(以下称为逻辑引导扇区),其结构基本相同,(以下称为逻辑引导扇区),其结构基本相同,包含两方面的内容:逻辑引导程序和磁盘基数表。包含两方面的内容:逻辑引导程序和磁盘基数表。逻辑引导程序是在逻辑格式化时建立的,其内容逻辑引导程序是在逻辑格式化时建立的,其内容与所使用的高级格式化软件(或操作系统)有关。与所使用的高级格式化软件(或操作系统)有关。如图如图4.2所示的是所示的是MS-DOS 3.30A软盘引导扇区的全软盘引导扇区的全部数据。部数据。4.1.2 逻辑引导扇区逻辑引导扇区图图4.2 MS-DOS

15、3.30A软盘引导扇区数据软盘引导扇区数据对于对于Windows 95/98/Me格式化的磁盘分区,通常格式化的磁盘分区,通常使用使用FAT32文件系统。文件系统。FAT32文件系统的逻辑引导文件系统的逻辑引导扇区的结构与扇区的结构与MS-DOS类似,如图类似,如图4.3所示的是所示的是FAT32逻辑硬盘的引导扇区数据。逻辑硬盘的引导扇区数据。磁盘系统引导扇区中,有整个逻辑盘的重要数据,磁盘系统引导扇区中,有整个逻辑盘的重要数据,即系统参数块(即系统参数块(BIOS Parameter Block,BPB)。)。BPB在磁盘逻辑格式化时写入逻辑磁盘的引导区中,在磁盘逻辑格式化时写入逻辑磁盘的引

16、导区中,位置从引导扇区的位置从引导扇区的0BH字节地址开始存放。字节地址开始存放。FAT32的的BPB对对FAT16的的BPB进行了扩充,可以通过进行了扩充,可以通过DEBUG来读取硬盘的来读取硬盘的BPB参数区内容。如图参数区内容。如图4.4所所示的是从某计算机的示的是从某计算机的D盘引导区读取的盘引导区读取的BPB参数。参数。图图4.3 FAT32逻辑硬盘的引导扇区数据逻辑硬盘的引导扇区数据图图4.4 磁盘参数表(磁盘参数表(BPB参数块)参数块)FAT32的的BPB参数块的具体结构如表参数块的具体结构如表4.2(见书(见书101页)所示(其中的实例数据在图页)所示(其中的实例数据在图4.4中)。中)。引导型病毒是一种在引导型病毒是一种在ROM BIOS之后,系统引导之后,系统引导时出现的病毒,它先于操作系统执行,依托的环时出现的病毒,它先于操作系统执行,依托的环境是境是BIOS中断服务程序。引导型病毒是利用操作中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理地址为依据,而不是以操权的转交方式

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 高等教育 > 大学课件

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!