病毒分析与防御考试重点.docVIP

病毒的对抗和检测方式 病毒的检测方式：1、特征码扫描（缺点：几乎不能检测新的病毒种类） 启发式扫描（缺点：误报） 虚拟机技术 主动防御技术 自免疫技术（完整性检查、审计分析） 病毒的对抗方式：1、未知病毒查杀技术 防病毒立体化技术 流扫描技术 云安全技术 硬盘寻址方式，病毒的CHS到线性地址的转换公式（P22） C为当前柱面号，H为当前磁头号，Cs表示起始柱面号，Hs表示起始磁头号，Ss表示起始扇区号，PS表示每磁道有多少个扇区，PH表示每柱面有多少个磁道 LBA=(C-Cs)*PH*PS+(H-Hs)*PS+(S-Ss) C=LBA/(PH*PS)+Cs H=(LBA/PS)modPH+Hs S=LBA mod PS+Ss 注：CHS扇区编号是从1-63 ,LBA扇区编号是从0开始 主引导扇区结构，扩展分区的概念作用，主分区的字段表项 引导扇区在每个分区里都存在，但是我们常说的*主引导扇区*是硬盘的第一物理扇区。它由两个部分组成：即主引导记录MBR和硬盘分区表DPT。在总共512字节的主引导分区里其中MBR占446个字节(偏移0--偏移1BDH)，DPT占64个字节(偏移1BEH--偏移1FDH),最后两个字节“55，AA”(偏移1FEH偏移1FFH)是分区的结束标志。大致的结构如下图： 主引导记录中的分区表最多只能包含4个分区记录，为了有效地解决这个问题，DOS的分区命令FDISK允许用户创建一个扩展分区，并且在扩展分区内在建立最多23个逻辑分区，其中的每个分区都单独分配一个盘符，可以被计算机作为独立的物理设备使用。关于逻辑分区的信息都被保存在扩展分区内，而主分区和扩展分区的信息被保存在硬盘的MBR内。这也就是说无论硬盘有多少个分区，其主启动记录中只包含主分区(也就是启动分区)和扩展分区两个分区的信息。 分区表由四个分区项构成，每一项结构如下：　　BYTE State：分区状态，0=未激活，0x80=激活（注意此项）；　　BYTE StartHead：分区起始磁头号；　　WORD StartSC：分区起始扇区和柱面号，底字节的底6位为扇区号，高2位为柱面号的第9，10位，高字节为柱面号的低8位；　　BYTE Type：分区类型，如0x0B=FAT32，0x83=Linux等，00表示此项未用；　　BYTE EndHead：分区结束磁头号；　　WORD EndSC：分区结束扇区和柱面号，定义同前；　　DWORD Relative：在线性寻址方式下的分区相对扇区地址（对于基本分区即为绝对地址）；　　DWORD Sectors：分区大小（总扇区数）。　　在DOS或Windows系统下，基本分区必须以柱面为单位划分（Sectors*Heads个扇区），如对于CHS为764/256/63的硬盘，分区的最小尺寸为256*63*512/1048576=7.875MB.　　由于硬盘的第一个扇区已经被引导扇区占用，所以一般来说，硬盘的第一个磁道（0头0道）的其余62个扇区是不会被分区占用的。某些分区软件甚至将第一个柱面全部空出来。”\xeb\x1f\x``````”; Char large_string[128]; Int main(int argc,char**argv) { Char buffer[96]; Int i; Long*long_ptr=(long*)large_string; For(i=0;i32;i++) *(long_ptr+i)=（int）buffer; For(i=0;i(int)strlen(shellcode);i++) Large_string[i]=shellcode[i]; Strcpy(buffer,large_string) Return 0; } 简单密码验证程序，构造了栈溢出漏洞 #includestdio.h #define PASSWORD “1234567” Int verify_password(char*password) { Int authenticated; Char buffer[8]; Authenticated=strcmp(password,PASSWORD); Strcpy(buffer,password); Return authenticated’ } Main() { int valid_flag=0; Char password[1024]; While(1) { Printf(“please input password:”); Scanf(“%s,password”); Valid_flag=verify_password(password); If(valid_flag) { Printf(“incorrect