ch02+-引導(dǎo)型病毒_第1頁(yè)
ch02+-引導(dǎo)型病毒_第2頁(yè)
ch02+-引導(dǎo)型病毒_第3頁(yè)
ch02+-引導(dǎo)型病毒_第4頁(yè)
ch02+-引導(dǎo)型病毒_第5頁(yè)
已閱讀5頁(yè),還剩61頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社教學(xué)目標(biāo)教學(xué)重點(diǎn)教學(xué)過(guò)程主引導(dǎo)扇區(qū)結(jié)構(gòu)圖主引導(dǎo)扇區(qū)結(jié)構(gòu)圖Master Boot Record主引導(dǎo)記錄(466字節(jié))分區(qū)表項(xiàng)1(16字節(jié))分區(qū)表項(xiàng)2(16字節(jié))分區(qū)表項(xiàng)3(16字節(jié))分區(qū)表項(xiàng)4(16字節(jié))01FE 5501FF AA000001BD01BE01CD01CE01DD01DE01ED01EE01FD446引導(dǎo)標(biāo)記2字節(jié)偏移字節(jié)偏移字節(jié)字段長(zhǎng)度字段長(zhǎng)度值值字段名和定義字段名和定義0 x01BE0 x01BEBYTEBYTE0 x800 x80分區(qū)狀態(tài)分區(qū)狀態(tài)0 x01BF0 x01BFBYTEBYTE0 x

2、010 x01起始磁頭號(hào)起始磁頭號(hào)(Start Head)(Start Head)0 x01C00 x01C0WORDWORD6 6位位0 x010 x01起始扇區(qū)號(hào)起始扇區(qū)號(hào)(Start Sector)(Start Sector)0 x01C10 x01C11010位位0 x000 x00起始柱面號(hào)起始柱面號(hào)(Start Cylinder)(Start Cylinder)0 x01C20 x01C2BYTEBYTE0 x070 x07分區(qū)類(lèi)型分區(qū)類(lèi)型0 x01C30 x01C3BYTEBYTE0 xFE0 xFE結(jié)束磁頭號(hào)結(jié)束磁頭號(hào)(End Head)(End Head)0 x01C40 x

3、01C4WORDWORD6 6位位0 xBF0 xBF結(jié)束扇區(qū)號(hào)結(jié)束扇區(qū)號(hào)(End Sector)(End Sector)0 x01C50 x01C51010位位0 xFC0 xFC結(jié)束柱面號(hào)結(jié)束柱面號(hào)(End Cylinder)(End Cylinder)0 x01C60 x01C6DWORDDWORD0 x0000003F0 x0000003F相對(duì)扇區(qū)數(shù)相對(duì)扇區(qū)數(shù)(Relative Sectors) (LBA(Relative Sectors) (LBA偏移偏移) )0 x01CA0 x01CADWORDDWORD0 x00BB867E0 x00BB867E該分區(qū)中扇區(qū)的總數(shù)該分區(qū)中扇區(qū)的

4、總數(shù)分區(qū)項(xiàng)表(16字節(jié))內(nèi)容及含義 數(shù)據(jù)區(qū)DATA文件目錄表FDTFAT2FAT131個(gè)保留扇區(qū)操作系統(tǒng)DBR62個(gè)保留扇區(qū)(系統(tǒng)扇區(qū))第二分區(qū)DPT + 55AA數(shù)據(jù)區(qū)DATA文件目錄表FDTFAT2FAT1操作系統(tǒng)DBR62個(gè)保留扇區(qū)(系統(tǒng)扇區(qū))MBR + DPT + 55AA剩余扇區(qū)剩余扇區(qū)0柱面0磁頭1扇區(qū)0柱面1磁頭1扇區(qū)占一個(gè)扇區(qū)占一個(gè)扇區(qū)共63個(gè)保留扇區(qū),屬第1分區(qū)前的數(shù)據(jù)第1個(gè)分區(qū)通常是活動(dòng)分區(qū)C,此處以FAT16為例共63個(gè)保留扇區(qū),屬第1、2分區(qū)之間數(shù)據(jù)第2個(gè)分區(qū),此處以FAT32為例加電(Power On)基本輸入輸出模塊BIOS自檢(Self Test)裝入中斷向量、及

5、服務(wù)子程序,BIOS資料塊將MBR讀入主存地址0000:7C00H并執(zhí)行將DOS啟動(dòng)記錄扇區(qū)(DBR)讀入主存地址0000:7C00H并執(zhí)行7dfeFFFF:0000MBR病毒代碼MBR找空白扇區(qū)病毒代碼(第一部分)病毒代碼(第二部分)記住扇區(qū)號(hào)圖圖1.5 1.5 存儲(chǔ)空間的分配存儲(chǔ)空間的分配擴(kuò)展擴(kuò)展RAM15MB基本基本ROM64KB擴(kuò)展擴(kuò)展ROM128KB顯示顯示RAM128KB系統(tǒng)系統(tǒng)RAM640KB000000H0A0000H0C0000H0E0000H100000HFFFFFFH常規(guī)內(nèi)存常規(guī)內(nèi)存1MB擴(kuò)展內(nèi)存擴(kuò)展內(nèi)存15MB感染標(biāo)記帶毒硬盤(pán)引導(dǎo)帶毒硬盤(pán)引導(dǎo)BIOS將硬盤(pán)主引導(dǎo)區(qū)讀到內(nèi)存0000:7c00H處控制權(quán)轉(zhuǎn)到主引導(dǎo)程序?qū)?000:0413H單元的值減少1K,BIOS上機(jī)自檢,將常規(guī)內(nèi)存大小存入該位置,系統(tǒng)以后不再訪問(wèn)最高段的1K內(nèi)存計(jì)算可用內(nèi)存高端地址

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論