電腦病毒結構介紹
從鬼影病毒開始,最近利用MBR手法的病毒逐漸普及,而想分析此類病毒,難免需要用到MBR和磁碟引導等基礎知識。因此利用休息時間整理了一點東西,希望對想研究或瞭解該手法的同學有些幫助。以下就是小編為大家整理到關於電腦病毒結構的相關知識,大家一起來看看吧!!!
知識一:
計算機病毒是由三個部分構成:感染部分,表現破壞部分,激發部分。
計算機病毒Computer Virus是編制者在計算機程式中插入的破壞計算機功能或者資料的程式碼,能影響計算機使用,能自我複製的一組計算機指令或者程式程式碼。
計算機病毒具有傳播性、隱蔽性、感染性、潛伏性、可激發性、表現性或破壞性。計算機病毒的生命週期:開發期→傳染期→潛伏期→發作期→發現期→消化期→消亡期。
計算機病毒是一個程式,一段可執行碼。就像生物病毒一樣,具有自我繁殖、互相傳染以及啟用再生等生物病毒特徵。計算機病毒有獨特的複製能力,它們能夠快速蔓延,又常常難以根除。它們能把自身附著在各種型別的檔案上,當檔案被複制或從一個使用者傳送到另一個使用者時,它們就隨同檔案一起蔓延開來。從而感染其他程式,對計算機資源進行破壞,所謂的病毒就是人為造成的,對其他使用者的危害性很大。
知識二:
先簡單介紹一下硬碟上相關結構:
1、MBR主引導記錄
硬碟第一個物理扇區為MBR,當我們選擇從硬碟啟動時,由 bois從該扇區讀入引導程式碼。MBR關鍵資料可分為3部分:
1 引導程式碼
2 分割槽表
3 結束標誌55AA
分割槽表用以管理整個磁碟空間的劃分。它從MBR的0x1BE偏移開始,有4個表項,每項16個位元組,因此最多隻能可以建立4個主分割槽。微軟為了克服這個數量限制,設計了擴充套件分割槽的方式,所謂擴充套件分割槽就是分割槽表中指向的一個普通分割槽而已,只是在它自己分割槽內部又有特殊的結構,使得我們可以分出多個邏輯分割槽,我們平時看到的d、e、f等驅動器實際上都是擴充套件分割槽內部劃分的邏輯分割槽,你可以用winhex檢視你的分割槽表,會發現裡面只有兩項,一項代表C盤分割槽,另外一項就是代表其他所有驅動器之和的擴充套件分割槽了,當然如果自己分了其他主分割槽的情況除外
分割槽表項結構列出如下,以便查閱:
2、DBR
每個主分割槽的第一個扇區存放著另一個引導扇區DBR,“分割槽引導扇區”或叫“DOS引導扇區”。該扇區的目的就是讀入ntldr,以進行進一步分引導。該扇區也是以”55AA”標誌結束。
3、擴充套件分割槽
詳細講一下擴充套件分割槽的結構,我們平時能分多個邏輯磁碟出來都是它的功勞。
前面說了擴充套件分割槽內部有著自己特殊的結構以實現多分割槽,它和普通的主分割槽一個明顯的差別就是它的第一個扇區存放的就不是DBR了,而是一個叫虛擬MBR的扇區。叫虛擬MBR是因為他和MBR結構很像。結構也為3部分:
1 全0
2 分割槽表
3 55AA
它沒有引導程式碼,以全0代替。分割槽表偏移也在0x1BE處,為4項。只是它只會用前兩項。後面兩項全0。第一項指向一個邏輯驅動器邏輯分割槽比如d盤。第二項指向下一個虛擬MBR如果還有邏輯分割槽的話。如此就形成了一個鏈,突破了分割槽個數限制。擴充套件分割槽本身沒有DBR,它的DBR在它的每個孩子即邏輯分割槽的第一個扇區。你可以把擴充套件分割槽想象成一個獨立的硬碟,只是分割槽的組織方式變成連結串列了,這樣可能好理解點。忘了一點,記得曾經有過硬碟邏輯鎖的概念,其原理就是把邏輯分割槽的連結串列修改成了一個環,這樣在系統遍歷這個連結串列時就死迴圈了。
以上文字描述的比較亂,下面給大家整理成一個結構圖,以方便理解。圖中以硬碟分了2個主分割槽+一個擴充套件分割槽畫的。
windows系統從MBR開始的引導過程簡單描述為:MBR->活動分割槽DBR->Ntldr->boot.ini啟動選單->載入系統。
世界電腦病毒日是哪天