硬盘的物理扇区由驱动器号、磁头号(面号)、柱面号与扇区号四个参数组成。每一种操作系统要想在硬盘上建立自己的分区,必须由一个自己特有的实用程序来进行操作。硬盘初始化时,经过分区后建立一个主引导分区和其他几个分区。见下图:主引导扇区 保留FAT区DOS引导扇区目录区数据区系统隐藏分区DOS分区1DOS分区2位于硬盘的0磁头0柱面1扇区,是硬盘的第1物理扇区,包括硬盘主引导程序代码、四个分区表信息和主引导记录有效标志等内容。该区受损时可用 FDISK/MBR的DOS命令来重建主引导程序和主引导记录有效标志,分区信息不会被修改。主引导扇区结构与文件系统区 域内 容0000H-01BDH01BFH-01CDH01CEH-01DDH01DEH-01EDH01EEH-01FDH01FEH-01FFH主引导程序代码分区表1分区表2分区表3分区表455AAH主引导记录有效标志用户可用DEBUG来查看主引导记录。文件系统是操作系统中借以组织、存储和命名文件的结构。磁盘或分区和它所包括的文件系统的不同是很重要的,大部分应用程序都基于文件系统进行操作,在不同种文件系统上是不能工作的。磁盘文件系统 DOS/WINDOWS系统操作系统中共使用了6种不同的文件系统:FAT12、FAT16、FAT32、NTFS、NTFS5.0、WinFS。
LINUX系统使用的主要是Ext2、Ext3,也能识别FAT16分区。FAT12:文件名只能是8.3格式;磁盘容量最大8M;文件磁片严重HAT16:大容量磁盘利用率低;分区创建的越大,造成的浪费越大。FAT32:文件分配表扩大后,速度减慢;不能向下兼容;当分区小于512M时,该格式不起作用,单个文件不能超过4G。NTFS:有出色的安全性和稳定性,且不易产生故善人碎片,对用户权限有非常严格的限制。但兼容性不好NTFS5.0:可支持2T的分区,是可恢复的文件系统;支持对分区、文件夹和文件的压缩以及动态分区。WinFS:建立在NTFS文件系统之上。请上微软官方网站查看。Ext2:是LINUX/GUN系统中的标准文件系统。存取文件性能好。Ext3:是上述系统的下一代,目前离实用阶段还的一段距离。是一个日志式文件系统。在Windows9x、NT、2000下,所有的Win32可执行文件(除VxD与DLL)都是基于Microsoft设计的一种新的文件格式:可移植的执行体,即PE格式。该格式的一些特性源自UNIX的COFF(命令目标文件)文件格式。Windows下感染可执行文件的病毒,就必须对PE格式的可执行文件进行修改。
PE文件结构格式如下:MZ MS-DOS头部MS-DOS实模式残余程序(DOS stub)PE00 PE文件标志PE文件头PE文件可选头部节表(section table)节1节2节3节nPE文件格式1.调用API函数进行 文件搜索2.采用递归与非递归 算法进行搜索3.内存映射文件 1.利用程序的返回 地址,在其附近搜 索Kernel32模块 基地址2.对相应操作系统 分别给出固定的 Kernel32模块基 地址我们在编程用常量和变量时vbs脚本病毒代码,一般直接用名字访问,编译后通过偏移地址访问,而计算机病毒在感染宿主程序时,要插入到宿主程序的代码空间,肯定要用到变量和常量.当病毒感染host程序后,由于依附到host程序中的位置不同,病毒随host载入内存后,病毒的各变量常量在内存中的位置自然也随之变化.病毒必须采用重定位技术才能使自己正常运行WIN32病毒分析概 念组 成分 类特 征植入方法特 洛 伊 木马一种能够在受害者毫无察觉的情况下渗透到系统的代码硬件部分软件部分具体连接部分远程控制型密码发送型键盘记录型毁坏型FTP型多媒体型隐蔽性 自动运行性 欺骗性 自动恢复性 功能特殊性软件复制 电子邮件 发送超链接 缓冲区溢出攻击 WINDOWS程序设计是一种事件驱动方式的程序设 计模式。