计算机病毒及其防范技术 教学课件 作者 978-7-302-16923-9 第三章 计算机病毒结构分析1).pptVIP

第三章 计算机病毒结构分析;本章学习目标;总体概念;一、计算机病毒的结构和工作机制 ;工作机制;引导模块;;;感染模块;;;破坏模块;触发模块;病毒常用的触发条件;二、16位操作系统病毒编制技术 ;1 引导型病毒编制原理;引导区病毒取得控制权的过程：;2COM\EXE\NE文件结构及运行原理;;;PSP结构 偏移大小????长度（Byte）? 说 明0000h??????????? 02???? ? 中断20H0002h??????????? 02? ?? ? 以节计算的内存大小（利用它可看出是否感染引导型病毒）0004h??????????? 01? ???? 保留0005h??????????? 05? ???? 至DOS的长调用000Ah??????????? 02? ???? INT 22H 入口 IP000Ch??????????? 02?????? INT 22H 入口 CS000Eh??????????? 02? ?? ? INT 23H 入口 IP0010h??????????? 02??? ?? INT 23H 入口 CS0012h???????? ?? 02???? ? INT 24H 入口 IP0014h???????? ?? 02???? ? INT 24H 入口 CS0016h??????????? 02?????? 父进程的PSP段值（可测知是否被跟踪）0018h????????? ? 14??? ?? 存放20个SOFT号002Ch????????? ? 02???? ? 环境块段地址（从中可获知执行的程序名）002Eh??????????? 04???? ? 存放用户栈地址指针0032h??????? ??? 1E?????? 保留0050h??????????? 03?????? DOS调用（INT 21H / RETF）0053h??????????? 02??? ?? 保留0055h??????????? 07?????? 扩展的FCB头005Ch???????? ?? 10??? ?? 格式化的FCB1006Ch???????? ?? 10???? ? 格式化的FCB2007Ch????????? ? 04???? ? 保留0080h??????????? 80??? ?? 命令行参数长度0081h?????????? 127???? ?命令行参数;MZ格式;;// MZ格式可执行程序文件头 struct HeadEXE { WORD wType; // 00H MZ标志 WORD wLastSecSize; // 02H 最后扇区被使用的大小 WORD wFileSize; // 04H 文件大小 WORD wRelocNum; // 06H 重定位项数 WORD wHeadSize; // 08H 文件头大小 WORD wReqMin; // 0AH 最小所需内存 WORD wReqMax; // 0CH 最大所需内存 WORD wInitSS; // 0EH SS初值 WORD wInitSP; // 10H SP初值 WORD wChkSum; // 12H 校验和 WORD wInitIP; // 14H IP初值 WORD wInitCS; // 16H CS初值 WORD wFirstReloc; // 18H 第一个重定位项位置 WORD wOverlap; // 1AH覆盖 WORD wReserved[0x20];//1CH 保留 WORD wNEOffset; // 3CH NE头位置 };; NE格式;NE装载;;3 COM文件病毒原理;E9　ｘｘ　ｘｘ ;三、32位操作系统病毒示例分析 ;１PE文件结构及其运行原理（1）PE文件格式总体结构 ;PE文件结构总体层次分布;;;装载PE文件的主要步骤 ;（2）检验PE文件的有效性 ;;定位PE header ;（3）文件头（FileHeader） ;;(4) Optional Header ;域名;（5）节表 (Section Table);域名;