ch02+-引导型病毒课件.ppt

  1. 1、本文档共66页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ch02-引导型病毒课件

* * * * * * * * * /jh/45/425558.html 引导扇区的有效标记位固定值,AA55H * 0x01BE 80为可引导分区 00为不可引导分区 0XO1BF-0X01C1表示本分区在硬盘上的开始地址(通过CHS求) OX01C2表示分区类型,1表示12位FAT表的基本DOS区,4位16位FAT表的基本DOS分区,5位扩展DOS分区,6位大于32M的DOS分区,其他位非DOS分区 0X01C3-0X01C5表示本分区的结束地址 0X01C6-第一扇区的绝对扇区号(分区前的扇区数) * * 系统引导过程 BIOS(基本输入输出系统):是固化在计算机硬件中、直接与硬件打交道的一组程序,计算机的启动过程是在主板BIOS的控制下进行的,我们也常把它称为“系统BIOS”。 * * 系统引导过程简介 加电(Power On) 基本输入输出模块 BIOS 自检 (Self Test) 装入中断向量、 及服务子程序, BIOS资料块 将MBR读入主存 地址0000:7C00H 并执行 将DOS启动记录扇区 (DBR)读入主存地址 0000:7C00H并执行 * * 系统引导过程简介 (1)BIOS加电自检(POST),此时电源稳定后,CPU从内存地址________处开始执行。 (2)将硬盘第一个扇区读入内存地址0000:7C00处。 (3)检查0000:______是否等于0xaa55,若不等于则转去尝试其他启动介质。 (4)跳转到0000:7C00处执行MBR中的程序。 (5)MBR首先将自身重定位到0000:0600处,然后继续执行。 (6)在主分区表中有哪些信誉好的足球投注网站标志为活动的分区。 7dfe FFFF:0000 * * 系统引导过程简介 (7)将活动分区的第一个扇区读入内存地址0000:7C00处。 (8)跳转到0000:7C00处继续执行特定的系统启动程序。 * * 系统启动过程代码分析 定位到0000:7C00 CLI XOR AX,AX MOV SS,AX MOV SP,7C00 MOV SI,SP PUSH AX POP ES PUSH AX POP DS STI * * 系统启动过程代码分析 把MBR重定位到0600 MOV DI,0600 MOV CX,0100 REPNZ MOVSW * * 系统启动过程代码分析 在新位置继续执行MBR,查找活动分区 JMP 0000:061D MOV SI,07BE MOV BL,04 SEARCH_LOOP1:CMP BYTE PTR [SI],80 JZ FOUND_ACTIVE CMP BYTE PTR [SI],00 JNZ NOT_ACTIVE * * 系统启动过程代码分析 继续查找,直到找到活动分区 ADD SI,10 DEC BL JNZ SEARCH_LOOP1 FOUND_ACTIVE: MOV DX, [SI] MOV CX,[SI+02] MOV BP,SI * * 系统启动过程代码分析 将活动分区第一个扇区读入内存地址0000:7C00 MOV BX,7C00 MOV AX,0201 INT 13 * * * * 系统启动过程代码分析 检查引导区标志,一切正常则跳转到7C00 MOV DI,7DFE CMP WORD PTR [DI],AA55 JNZ DISPLAY_MSG JMP 0000:7C00 * * * * MBR 病毒 代码 MBR 找空白扇区 病毒代码(第一部分) 病毒 代码 (第二部分) 标记为有损磁道 记住扇区号 * * 2.2.1 引导型病毒工作原理 引导型病毒是一种在ROM BIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。 引导型病毒主要技术手段 常驻内存高端 修改中断向量表,截获系统中断 * * * * 病毒程序常驻内存 想办法把病毒程序载入到内存中,载入后保证这一段代码不被其他代码覆盖。 内存0000:0413处两字节描述了基本内存的大小,它的值是KB的倍数。 * * 图1.5 存储空间的分配 扩展RAM ≈15MB 基本ROM 64KB 扩展ROM 128KB 显示RAM 128KB 系统RAM 640KB 000000H 0A0000H 0C0000H 0E0000H 100000H FFFFFFH 常规内存 1MB 扩展内存

文档评论(0)

jiayou10 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:8133070117000003

1亿VIP精品文档

相关文档