病毒分析02讲汇总.ppt

病毒分析第2讲 授课教师：赵树升 授课日期：2012 计算机病毒分析 【上节回顾：点名】 概念； 命名规则； 触发机制； 特征码： 破坏方式：一切正常功能的利用 讲解习题 计算机病毒分析 引导 病毒分析 2.1.1 磁盘数据结构 2.1.2 系统引导过程与引导扇区分析 2.1.3 读写扇区方式 2.1.4 程序常驻内存 2.2 引导型病毒 2.2.1 引导型病毒原理 2.3 实验1：引导程序设计 2.4 实验2：接管中断程序设计 2.5 清除病毒程序设计 本章 内容 计算机病毒分析 概述 1、引导扇区是磁盘的一个特殊扇区，存放了系统启动所要的代码与数据。 2、引导形病毒指驻留在硬盘的主引导分区或硬软盘的 DOS 引导分区的病毒。由于PC机开机后，会先执行主引导分区的代码，因此病毒可以先于操作系统获得控制权。 计算机病毒分析 2.1 预备知识 1、1987年，具有代表性的是“小球”和“石头”病毒 2、小球病毒：个活蹦乱跳的小圆点,不停地运动,当碰到屏幕边沿就立刻反弹。 3、病毒发作时，系统一经启动，即显示：“Your PC is now stoned！” 计算机病毒分析 2.1.1 磁盘数据结构 1、磁盘格式化：物理驱动器（硬盘）的所有数据区上写零的操作过程，格式化是一种纯物理操作，同时对硬盘介质做一致性检测，并且标记出不可读和坏的扇区。 2、DOS下：Format D:/s 计算机病毒分析 1、Format命令 计算机病毒分析 2、Windows下 计算机病毒分析 3、思考 什么是卷标？ 什么是文件系统，有哪些？主要区别？ 计算机病毒分析 4 磁盘原理图 计算机病毒分析 1、名词 位 ； 字节 扇区：BIOS读写的基本单位 簇：文件操作的基本单位 柱面： 磁道： 面： ；磁头 磁头上数据：回忆组成原理 引导扇区： 主引导扇区 《后面还会讲的》 计算机病毒分析 2、引导扇区结构举例 计算机病毒分析 3、回忆 1) 2字节整数、4字节整数在磁盘中存放方式 2) 保存格式验证：二进制打开文件 计算机病毒分析 5、主引导扇区 计算机病毒分析 6、主引导扇区：用WINHEX观察 主引导扇区除了引导代码，还有各逻辑扇区的结构数据块，即分区表。分区表数据从引导扇区偏依0x1be开始，共64个字节。分区表最多只能描述4个分区，每个分区16字节。引导代码的作用就是分析分区表中的4个分区引导标志，当某一分区的引导标志为80H时， 主引导程序就把这一分区的第一个扇区(逻辑0扇区)读到内存0000:7C00H处，并从那儿开始执行。图2-3为一个硬盘MBR中的分区表。例如分区表中D:的数据结构为： 偏移0自举标志0(0x80为活动分区) 偏移1起始磁头号1 偏移2起始扇区号0x41 偏移3起始磁道号0x4b 偏移4为分区格式:FAT32 偏移5终止磁头号0xef 偏移6终止扇区号0xff 偏移7终止磁道号0xa4 偏移8--11本分区前已用扇区0x3F 偏移12--15本分区总扇区数0x1772361 最后两个字节\x55\xAA是引导扇区的标志。在硬盘的第一个磁道，除了MBR扇区，其它扇区是没有被使用的。C:的引导扇区一般在第二个磁道的第一个扇区。图2-4描述了图2-3的结构。 计算机病毒分析 7、分区的扇区分布 计算机病毒分析 8、FAT的作用：簇的使用情况 每个逻辑分区的FAT表用来描述磁盘中各簇的使用情况。以FAT32为例，每项值的意义如表2-1。 序号表项值簇描述信息含义 0使用的簇 00xffffffff一个已分配的簇号 0xfffffff0～0xfffffff6 保留的簇 0xfffffff7 坏簇 0xfffffff8～0xffffffff文件结束簇 计算机病毒分析 2.1.2 系统引导过程 （1）系统硬件的自检测试。执行VGA-BIOS等各种卡的BIOS程序 （2）将CPU中断向量、BIOS中断向量、BIOS数据块载入基本内存区（前640KB）。 (3) 扫描开机磁盘驱动器，将启动扇区纪录（软盘的）或主引导纪录（硬盘的）载入地址为0000:7C00H的基本内存区。 (4) 如果是从硬盘启动则转到刚才载入的MBR（0000:7C00H）执行。在MBR控制下扫描硬盘分区表，找到硬盘启动分区位置，载入启动扇区（功能同软盘的BR）到（0000:7C00H