ch02+-引导型病毒课件.ppt

* * * * * * * * * /jh/45/425558.html 引导扇区的有效标记位固定值，AA55H * 0x01BE 80为可引导分区 00为不可引导分区 0XO1BF-0X01C1表示本分区在硬盘上的开始地址（通过CHS求） OX01C2表示分区类型，1表示12位FAT表的基本DOS区，4位16位FAT表的基本DOS分区，5位扩展DOS分区，6位大于32M的DOS分区，其他位非DOS分区 0X01C3-0X01C5表示本分区的结束地址 0X01C6-第一扇区的绝对扇区号（分区前的扇区数） * * 系统引导过程 BIOS（基本输入输出系统）：是固化在计算机硬件中、直接与硬件打交道的一组程序，计算机的启动过程是在主板BIOS的控制下进行的，我们也常把它称为“系统BIOS”。 * * 系统引导过程简介 加电（Power On） 基本输入输出模块 BIOS 自检 （Self Test） 装入中断向量、 及服务子程序， BIOS资料块 将MBR读入主存 地址0000:7C00H 并执行 将DOS启动记录扇区 （DBR）读入主存地址 0000:7C00H并执行 * * 系统引导过程简介 （1）BIOS加电自检（POST），此时电源稳定后，CPU从内存地址________处开始执行。 （2）将硬盘第一个扇区读入内存地址0000：7C00处。 （3）检查0000：______是否等于0xaa55,若不等于则转去尝试其他启动介质。 （4）跳转到0000:7C00处执行MBR中的程序。 （5）MBR首先将自身重定位到0000:0600处，然后继续执行。 （6）在主分区表中有哪些信誉好的足球投注网站标志为活动的分区。 7dfe FFFF:0000 * * 系统引导过程简介 （7）将活动分区的第一个扇区读入内存地址0000:7C00处。 （8）跳转到0000:7C00处继续执行特定的系统启动程序。 * * 系统启动过程代码分析 定位到0000：7C00 CLI XOR AX,AX MOV SS,AX MOV SP,7C00 MOV SI,SP PUSH AX POP ES PUSH AX POP DS STI * * 系统启动过程代码分析 把MBR重定位到0600 MOV DI,0600 MOV CX,0100 REPNZ MOVSW * * 系统启动过程代码分析 在新位置继续执行MBR，查找活动分区 JMP 0000：061D MOV SI,07BE MOV BL,04 SEARCH_LOOP1：CMP BYTE PTR [SI],80 JZ FOUND_ACTIVE CMP BYTE PTR [SI],00 JNZ NOT_ACTIVE * * 系统启动过程代码分析 继续查找，直到找到活动分区 ADD SI,10 DEC BL JNZ SEARCH_LOOP1 FOUND_ACTIVE: MOV DX, [SI] MOV CX,[SI+02] MOV BP,SI * * 系统启动过程代码分析 将活动分区第一个扇区读入内存地址0000:7C00 MOV BX,7C00 MOV AX,0201 INT 13 * * * * 系统启动过程代码分析 检查引导区标志，一切正常则跳转到7C00 MOV DI,7DFE CMP WORD PTR [DI],AA55 JNZ DISPLAY_MSG JMP 0000:7C00 * * * * MBR 病毒 代码 MBR 找空白扇区 病毒代码（第一部分） 病毒 代码 （第二部分） 标记为有损磁道 记住扇区号 * * 2.2.1 引导型病毒工作原理 引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。 引导型病毒主要技术手段 常驻内存高端 修改中断向量表，截获系统中断 * * * * 病毒程序常驻内存 想办法把病毒程序载入到内存中，载入后保证这一段代码不被其他代码覆盖。 内存0000:0413处两字节描述了基本内存的大小，它的值是KB的倍数。 * * 图1.5 存储空间的分配 扩展RAM ≈15MB 基本ROM 64KB 扩展ROM 128KB 显示RAM 128KB 系统RAM 640KB 000000H 0A0000H 0C0000H 0E0000H 100000H FFFFFFH 常规内存 1MB 扩展内存