引导型病毒分析要点.ppt

第2章 引导型病毒分析 教学目标 系统引导过程 引导型病毒原理 中断与中断程序设计 清除病毒方法 2.1 预备知识 ● 磁盘数据结构 ● DOS启动过程 ● 读写扇区方式 ● 程序常驻内存 2.1.1 硬盘的物理结构 绝大多数硬盘在结构上都是温彻斯特(Winchester)盘，其核心就是：磁盘片被密封、固定并且不停高速旋转，磁头悬浮于盘片上方沿磁盘径向移动，并且不和盘片接触 2.1.1 硬盘的物理结构 低级格式化与硬盘的基本参数 对于一块新硬盘，低级格式化的过程已经由生产厂家在产品出厂前完成了 低级格式化的主要目的是将盘面划分成磁道、扇区和柱面 2.1.1 磁盘数据结构 2.1.1 硬盘的物理结构 分区与高级格式化 硬盘在使用时，是按照不同的区域存储数据的，硬盘分区就是划分区域的过程。划分好的每一个区域都称作一个分区，最多可以划分为四个主分区。这项工作由分区程序来完成，通常使用FDISK或磁盘管理工具软件 在分区的过程中，分区程序向0柱面0磁头1扇区写入主引导记录MBR(Master Boot Record)和分区记录表DPT(Disk Partition Table)，并建立一个分区表链，向所有的逻辑驱动器写入链表记录。 硬盘的分区格式常用的分区格式有四种：FAT16、FAT32、NTFS和Linux，其中使用最多的是FAT16和FAT32 2.1.1 硬盘的物理结构 分区与高级格式化 硬盘分区后还不能直接使用，要在每个分区内建立完整的存储系统后才能正常使用。建立存储系统的工作一般由FORMAT程序来完成，这个过程称为高级格式化 高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目录表FDT(File Directory Table)和数据区DATA 2.1.2 硬盘的数据结构 主引导扇区的组成 主引导扇区(Boot Sector)也就是硬盘的第一个扇区(0柱面0磁头1扇区) 主引导记录(Master Boot Record，MBR) 主分区表即磁盘分区表(Disk Partition Table，DPT) 引导扇区标记(Boot Record ID/Signature) 完成系统主板BIOS向操作系统交接的重要入口 2.1.2 硬盘的数据结构 硬盘主分区表结构简介 2.1.3 扩展分区与扩展MBR简介 通过主引导记录定义的硬盘分区表，最多只能描述4个分区 微软采用虚拟MBR的技术 用以描述分区的扇区形成一个“分区链”，通过这个分区链，就可以描述所有的分区 2.1.3 扩展分区与扩展MBR简介 主分区、扩展分区、逻辑驱动器及其关系 2.1.3 扩展分区与扩展MBR简介 扩展分区和逻辑盘 2.2.1 文件系统简介 当磁盘被格式化之后，文件系统需要用到一些特殊的区域来组织它本身的数据： 主引导记录(Master Boot Record，MBR) 磁盘分区表(Disk Partition Table，DPT) 操作系统引导记录(DOS Boot Record，DBR) 文件分配表(File Allocation Table，FAT) 文件目录表(File Directory Table，FDT) 数据区 2.2.2 FAT32 DBR 2.2.3 FAT16 DBR FAT12和FAT16中的DBR与FAT32中的DBR的基本含义类似，只是相关偏移量和参数意义有小的差异 2.2.4 保留扇区 在FAT文件系统DBR的偏移0x0E处，用2个字节存储保留扇区的数目。所谓保留扇区(有时候也称作系统扇区、隐藏扇区)，是指从分区DBR扇区开始的仅为系统所有的扇区，包括DBR扇区。在FAT16文件系统中，保留扇区的数据通常设置为1，即仅仅DBR扇区。而在FAT32中，保留扇区的数据通常取为32 FAT32中的保留扇区除了磁盘总第0扇区用作DBR，总第2扇区(Windows 98系统)或总第0xC扇区(Windows 2000/XP)用作OS引导代码扩展部分外，其余扇区都不参与操作系统管理与磁盘数据管理，通常情况下是没作用的 2.2.4 保留扇区 操作系统之所以在FAT32中设置保留扇区，是为了对DBR作备份或留待以后升级时用。FAT32中，DBR偏移0x32占2字节的数据指明了DBR备份扇区所在，一般为0x06，即第6扇区。当FAT32分区DBR扇区被破坏导致分区无法访问时，可以用第6扇区的原备份替换第0扇区来找回数据 2.2.6 FAT32 存储原理 FAT32是个非常有效的文件系统，FAT32依然占据着Microsoft Windows文件系统中重要的地位 FAT32最早是出于FAT1