计算机病毒原理及防范技术王路群电子教案 第2章 基础知识.pptVIP

计算机病毒原理及防范技术 第1章 计算机病毒概述 教学要求： 理解：有关计算机底层的最基本问题，计算机结构、汇编语言知识等在本课程学习中都会涉及的知识点 掌握：磁盘结构和分区，文件系统，汇编语言和接口的基础知识，启动过程，COM和EXE文件结构 2.1 磁盘结构与管理 计算机磁盘是计算机最重要的长期存储设备，其容量大、数据保存时间长，已经成为计算机不可或缺的基本组成设备。可以说，磁盘是当今计算机正常运行的保证之一。磁盘上记录着很多文件和数据，而计算机病毒正是瞄准了这些重要的地方，对磁盘进行入侵。可以这么说，如果不了解磁盘结构和管理工作，将根本无法抵抗病毒的攻击。 2.1 磁盘结构与管理（续） 三参数概念 Cylinder（柱面）：C表示磁盘的柱面数，亦即磁盘的每个盘面上有多少个磁道。其值最大为1023个（210－1个），使用10位二进制数存储。 Head（磁头）：H表示该硬盘中磁头的数量。其值最大为255个（28－1个），使用8位二进制数存储。 Sector（扇区）：S表示每个磁道上扇区的数量。其值最大为63个（26－1个），使用6位二进制数存储。 2.1 磁盘结构与管理（续） 典型硬盘拆解图 2.1 磁盘结构与管理（续） 另一典型磁盘拆解图 2.1 磁盘结构与管理（续） 磁盘分解示意图 2.1 磁盘结构与管理（续） 同轴磁盘和柱面的关系 2.1 磁盘结构与管理（续） 柱面、磁道和扇区 2.1 磁盘结构与管理（续） 现代磁盘结构 老式磁盘中，由于每个扇区都是512B，而忽略了扇区本身的长度，从而造成了很大的浪费。因此，现代新技术下的磁盘，都采取了等密度结构。也就是说，每个扇区，不论弧度是多少，其弧长都是一样，这样，外圈磁道的扇区数就要大于内圈磁道。这样一来，原有的三参数体系就被打破了，寻址方式也就成为了线性寻址方式，扇区成了寻址的单位。 2.1 磁盘结构与管理（续） 基本INT 13H 调用和扩展INT 13H调用 基本INT 13H调用是针对三参数磁盘所提供的最基本磁盘输入－输出功能的调用，包含读写、校验、定位、复位等功能。由于它是基于三参数的，所以只能支持最大不超过8GB的硬盘。 扩展1NT 13H调用是面向新型磁盘的。现代磁盘使用的是线性寻址方式。但是由于基本INT 13H的限制，使得在使用BIOS INT 13H接口程序，如MS-DOS时，还是只能访问最大8GB的磁盘空间。于是微软联合几家企业制定了扩展INT 13H标准，即所谓的Extended INT 13H，从而打破了这一限制。这一新标准就是采取线性方式寻址，并且还能支持移动硬盘等可移动介质。 2.1 磁盘结构与管理（续） 主引导扇区（Boot Sector）是硬盘的第一个扇区（0柱面0磁道1扇区）。它由三部分组成。 主引导记录（Main Boot Record，MBR）：主引导程序所在地，占用引导扇区的前446B（0～0x1bdh），负责从活动分区中加载操作系统引导程序。 硬盘分区表（Disk Partition Table，DPT）：存放磁盘基本分区信息，共64B（0x1beh～0x1fdh）。该分区表分为4个分区项，各16B，每个分区项用以记录各主分区的信息。这就是为什么硬盘中只能有至多4个主分区的原因。 引导扇区标记（Boot Record ID）：用以标定引导扇区是否合法，如果其内容等于0xAA55则表明引导扇区合法。其位置在0x1FEH和0x1FFH，共2B。 2.1 磁盘结构与管理（续） 分区表的结构说明： State：分区状态，占用一个字节，用来标定该分区是否被激活，其中：0 未激活；0x80 激活。 StartHead：分区起始磁头号，占用一个字节。 StartSC：分区起始扇区号和柱面号，占用两个字节，其中：低字节的低6位用来记录扇区号，低字节的高两位为柱面号的第9、10两位，而高字节为柱面号的低8位。希望读者一定注意。 Type：分区类型记录，占用一个字节。这一个字节不同的二进制组合代表不同的分区类型，如0x06为FAT16。本书后附录2中有详细记录，供读者参考。需要注意的是，如果该字节中为全0，则表明该分区未被使用。 EndHead：分区结束磁头号，占用一个字节。 EndSC：分区结束扇区号和柱面号，占用两个字节，其中，低字节的低6位用来记录扇区号，低字节的高两位为柱面号的第9、10两位，而高字节为柱面号的低8位。这和StartSC的定义是完全一致的。 Relative：用于线性寻址方式下的分区相对扇区表，占用4B，如果对于基本分区则是绝对地址。 Sectors：记录该分区所占用的总扇区数，占用4B。 2.1 磁盘结构与管理（续） 扩展分区的特点： 在主分区表中，必须存放一个基本扩展分区项，用以存放后面所有的扩展分区的信息。 在基