第2章 引导病毒分析.pptVIP

第2章 引导型病毒分析 教学目标 系统引导过程 引导型病毒原理 中断与中断程序设计 清除病毒方法 教学重点 引导扇区分析 读写扇区方式 程序常驻内存 引导程序设计 接管中断程序设计 教学过程 预备知识 引导型病毒 实验1：引导程序设计 实验2：接管中断程序设计 清除病毒程序设计 2.1 预备知识 ● 磁盘数据结构 ● DOS启动过程 ● 读写扇区方式 ● 程序常驻内存 2.1.1 磁盘数据结构 引导扇区 扇区分布 读写扇区方式 Int 13h 用Debug的命令L和W可以读写分区的扇区 ReadFile 程序常驻内存 2.2 引导型病毒 引导型病毒原理 一个引导型病毒分析 2.2.1 引导型病毒工作原理 引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。 感染前后比较 ● 软盘中毒前的正常开机程序：开机→执行BIOS→自我测试PO