ch02+-引导型病毒

1、计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社教学目标教学重点教学过程主引导扇区结构图主引导扇区结构图Master Boot Record主引导记录(466字节)分区表项1(16字节)分区表项2(16字节)分区表项3(16字节)分区表项4(16字节)01FE 5501FF AA000001BD01BE01CD01CE01DD01DE01ED01EE01FD446引导标记2字节偏移字节偏移字节字段长度字段长度值值字段名和定义字段名和定义0 x01BE0 x01BEBYTEBYTE0 x800 x80分区状态分区状态0 x01BF0 x01BFBYTEBYTE0 x

2、010 x01起始磁头号起始磁头号(Start Head)(Start Head)0 x01C00 x01C0WORDWORD6 6位位0 x010 x01起始扇区号起始扇区号(Start Sector)(Start Sector)0 x01C10 x01C11010位位0 x000 x00起始柱面号起始柱面号(Start Cylinder)(Start Cylinder)0 x01C20 x01C2BYTEBYTE0 x070 x07分区类型分区类型0 x01C30 x01C3BYTEBYTE0 xFE0 xFE结束磁头号结束磁头号(End Head)(End Head)0 x01C40 x

3、01C4WORDWORD6 6位位0 xBF0 xBF结束扇区号结束扇区号(End Sector)(End Sector)0 x01C50 x01C51010位位0 xFC0 xFC结束柱面号结束柱面号(End Cylinder)(End Cylinder)0 x01C60 x01C6DWORDDWORD0 x0000003F0 x0000003F相对扇区数相对扇区数(Relative Sectors) (LBA(Relative Sectors) (LBA偏移偏移) )0 x01CA0 x01CADWORDDWORD0 x00BB867E0 x00BB867E该分区中扇区的总数该分区中扇区的

4、总数分区项表（16字节）内容及含义 数据区DATA文件目录表FDTFAT2FAT131个保留扇区操作系统DBR62个保留扇区(系统扇区)第二分区DPT + 55AA数据区DATA文件目录表FDTFAT2FAT1操作系统DBR62个保留扇区(系统扇区)MBR + DPT + 55AA剩余扇区剩余扇区0柱面0磁头1扇区0柱面1磁头1扇区占一个扇区占一个扇区共63个保留扇区，属第1分区前的数据第1个分区通常是活动分区C，此处以FAT16为例共63个保留扇区，属第1、2分区之间数据第2个分区，此处以FAT32为例加电（Power On）基本输入输出模块BIOS自检（Self Test）装入中断向量、及

5、服务子程序，BIOS资料块将MBR读入主存地址0000:7C00H并执行将DOS启动记录扇区（DBR）读入主存地址0000:7C00H并执行7dfeFFFF:0000MBR病毒代码MBR找空白扇区病毒代码（第一部分）病毒代码（第二部分）记住扇区号图图1.5 1.5 存储空间的分配存储空间的分配扩展扩展RAM15MB基本基本ROM64KB扩展扩展ROM128KB显示显示RAM128KB系统系统RAM640KB000000H0A0000H0C0000H0E0000H100000HFFFFFFH常规内存常规内存1MB扩展内存扩展内存15MB感染标记带毒硬盘引导带毒硬盘引导BIOS将硬盘主引导区读到内存0000:7c00H处控制权转到主引导程序将0000:0413H单元的值减少1K，BIOS上机自检，将常规内存大小存入该位置，系统以后不再访问最高段的1K内存计算可用内存高端地址