1、計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第1頁(yè)第第2章章 引導(dǎo)型病毒分析引導(dǎo)型病毒分析 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社教學(xué)目標(biāo)教學(xué)重點(diǎn)教學(xué)過(guò)程計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第2頁(yè)教學(xué)目標(biāo)教學(xué)目標(biāo)l系統(tǒng)引導(dǎo)過(guò)程系統(tǒng)引導(dǎo)過(guò)程 l引導(dǎo)型病毒原理引導(dǎo)型病毒原理 l中斷與中斷程序設(shè)計(jì)中斷與中斷程序設(shè)計(jì)l清除病毒方法清除病毒方法計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第3頁(yè)2.1 預(yù)

2、備知識(shí)預(yù)備知識(shí) 磁盤(pán)數(shù)據(jù)結(jié)構(gòu)磁盤(pán)數(shù)據(jù)結(jié)構(gòu) DOS啟動(dòng)過(guò)程啟動(dòng)過(guò)程 讀寫(xiě)扇區(qū)方式讀寫(xiě)扇區(qū)方式 程序常駐內(nèi)存程序常駐內(nèi)存 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第4頁(yè)2.1.1 2.1.1 硬盤(pán)的物理結(jié)構(gòu)硬盤(pán)的物理結(jié)構(gòu)l絕大多數(shù)硬盤(pán)在結(jié)構(gòu)上都是溫徹斯特絕大多數(shù)硬盤(pán)在結(jié)構(gòu)上都是溫徹斯特(Winchester)盤(pán)，其核心就是：磁盤(pán)片被密封、盤(pán)，其核心就是：磁盤(pán)片被密封、固定并且不停高速旋轉(zhuǎn)，磁頭懸浮于盤(pán)片上方沿固定并且不停高速旋轉(zhuǎn)，磁頭懸浮于盤(pán)片上方沿磁盤(pán)徑向移動(dòng)，并且不和盤(pán)片接觸磁盤(pán)徑向移動(dòng)，并且不和盤(pán)片接觸計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒

3、分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第5頁(yè)2.1.1 2.1.1 硬盤(pán)的物理結(jié)構(gòu)硬盤(pán)的物理結(jié)構(gòu)l低級(jí)格式化與硬盤(pán)的基本參數(shù)低級(jí)格式化與硬盤(pán)的基本參數(shù) 對(duì)于一塊新硬盤(pán)，低級(jí)格式化的過(guò)程已經(jīng)由生產(chǎn)廠家對(duì)于一塊新硬盤(pán)，低級(jí)格式化的過(guò)程已經(jīng)由生產(chǎn)廠家在產(chǎn)品出廠前完成了在產(chǎn)品出廠前完成了 低級(jí)格式化的主要目的是將盤(pán)面劃分成磁道、扇區(qū)和低級(jí)格式化的主要目的是將盤(pán)面劃分成磁道、扇區(qū)和柱面柱面計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第6頁(yè)2.1.1 2.1.1 磁盤(pán)數(shù)據(jù)結(jié)構(gòu)磁盤(pán)數(shù)據(jù)結(jié)構(gòu) 操作系統(tǒng)讀操作系統(tǒng)讀寫(xiě)磁盤(pán)的單寫(xiě)磁盤(pán)的單位

4、是扇區(qū)，位是扇區(qū)，文件分配的文件分配的基本單位是基本單位是簇簇計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第7頁(yè)2.1.1 2.1.1 硬盤(pán)的物理結(jié)構(gòu)硬盤(pán)的物理結(jié)構(gòu)l分區(qū)與高級(jí)格式化分區(qū)與高級(jí)格式化 硬盤(pán)在使用時(shí)，是按照不同的區(qū)域存儲(chǔ)數(shù)據(jù)的，硬盤(pán)硬盤(pán)在使用時(shí)，是按照不同的區(qū)域存儲(chǔ)數(shù)據(jù)的，硬盤(pán)分區(qū)就是劃分區(qū)域的過(guò)程。劃分好的每一個(gè)區(qū)域都稱分區(qū)就是劃分區(qū)域的過(guò)程。劃分好的每一個(gè)區(qū)域都稱作一個(gè)分區(qū)，最多可以劃分為四個(gè)主分區(qū)。這項(xiàng)工作作一個(gè)分區(qū)，最多可以劃分為四個(gè)主分區(qū)。這項(xiàng)工作由分區(qū)程序來(lái)完成，通常使用由分區(qū)程序來(lái)完成，通常使用FDISK或磁盤(pán)管理

5、工具或磁盤(pán)管理工具軟件軟件 在分區(qū)的過(guò)程中，分區(qū)程序向0柱面0磁頭1扇區(qū)寫(xiě)入主引導(dǎo)記錄MBR(Master Boot Record)和分區(qū)記錄表DPT(Disk Partition Table)，并建立一個(gè)分區(qū)表鏈，向所有的邏輯驅(qū)動(dòng)器寫(xiě)入鏈表記錄。 硬盤(pán)的分區(qū)格式常用的分區(qū)格式有四種：FAT16、FAT32、NTFS和Linux，其中使用最多的是FAT16和FAT32計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第8頁(yè)2.1.1 2.1.1 硬盤(pán)的物理結(jié)構(gòu)硬盤(pán)的物理結(jié)構(gòu)l分區(qū)與高級(jí)格式化分區(qū)與高級(jí)格式化 硬盤(pán)分區(qū)后還不能直接使用，要在每個(gè)分區(qū)內(nèi)

6、建立完硬盤(pán)分區(qū)后還不能直接使用，要在每個(gè)分區(qū)內(nèi)建立完整的存儲(chǔ)系統(tǒng)后才能正常使用。建立存儲(chǔ)系統(tǒng)的工作整的存儲(chǔ)系統(tǒng)后才能正常使用。建立存儲(chǔ)系統(tǒng)的工作一般由一般由FORMAT程序來(lái)完成，這個(gè)過(guò)程稱為高級(jí)格式程序來(lái)完成，這個(gè)過(guò)程稱為高級(jí)格式化化 高級(jí)格式化的目的是在分區(qū)內(nèi)建立分區(qū)引導(dǎo)記錄DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目錄表FDT(File Directory Table)和數(shù)據(jù)區(qū)DATA計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第9頁(yè)2.1.2 硬盤(pán)的數(shù)據(jù)結(jié)構(gòu)硬盤(pán)的數(shù)據(jù)

7、結(jié)構(gòu)l主引導(dǎo)扇區(qū)的組成主引導(dǎo)扇區(qū)的組成 主引導(dǎo)扇區(qū)主引導(dǎo)扇區(qū)(Boot Sector)也就是硬盤(pán)的第一個(gè)扇區(qū)也就是硬盤(pán)的第一個(gè)扇區(qū)(0柱面柱面0磁頭磁頭1扇區(qū)扇區(qū)) 主引導(dǎo)記錄(Master Boot Record，MBR) 主分區(qū)表即磁盤(pán)分區(qū)表(Disk Partition Table，DPT) 引導(dǎo)扇區(qū)標(biāo)記(Boot Record ID/Signature) 完成系統(tǒng)主板完成系統(tǒng)主板BIOS向操向操作系統(tǒng)交接的重要入口作系統(tǒng)交接的重要入口主引導(dǎo)扇區(qū)結(jié)構(gòu)圖主引導(dǎo)扇區(qū)結(jié)構(gòu)圖Master Boot Record主引導(dǎo)記錄(466字節(jié))分區(qū)表項(xiàng)1(16字節(jié))分區(qū)表項(xiàng)2(16字節(jié))分區(qū)表項(xiàng)3(16字

8、節(jié))分區(qū)表項(xiàng)4(16字節(jié))01FE 5501FF AA000001BD01BE01CD01CE01DD01DE01ED01EE01FD446引導(dǎo)標(biāo)記2字節(jié)計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第10頁(yè)分區(qū)項(xiàng)表（16字節(jié)）內(nèi)容及含義 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第11頁(yè)2.1.2 硬盤(pán)的數(shù)據(jù)結(jié)構(gòu)硬盤(pán)的數(shù)據(jù)結(jié)構(gòu)l硬盤(pán)主分區(qū)表結(jié)構(gòu)簡(jiǎn)介硬盤(pán)主分區(qū)表結(jié)構(gòu)簡(jiǎn)介偏移字節(jié)偏移字節(jié)字段長(zhǎng)度字段長(zhǎng)度值值字段名和定義字段名和定義0 x01BE0 x01BEBYTEBYTE0 x800 x80

9、引導(dǎo)指示符號(hào)引導(dǎo)指示符號(hào)(Boot Indicator) (Boot Indicator) 0 x01BF0 x01BFBYTEBYTE0 x010 x01起始磁頭號(hào)起始磁頭號(hào)(Start Head)(Start Head)0 x01C00 x01C0WORDWORD6 6位位0 x010 x01起始扇區(qū)號(hào)起始扇區(qū)號(hào)(Start Sector)(Start Sector)0 x01C10 x01C11010位位0 x000 x00起始柱面號(hào)起始柱面號(hào)(Start Cylinder)(Start Cylinder)0 x01C20 x01C2BYTEBYTE0 x070 x07系統(tǒng)系統(tǒng)ID(Sy

10、stem ID)ID(System ID)，定義了分區(qū)的類型，定義了分區(qū)的類型0 x01C30 x01C3BYTEBYTE0 xFE0 xFE結(jié)束磁頭號(hào)結(jié)束磁頭號(hào)(End Head)(End Head)0 x01C40 x01C4WORDWORD6 6位位0 xBF0 xBF結(jié)束扇區(qū)號(hào)結(jié)束扇區(qū)號(hào)(End Sector)(End Sector)0 x01C50 x01C51010位位0 xFC0 xFC結(jié)束柱面號(hào)結(jié)束柱面號(hào)(End Cylinder)(End Cylinder)0 x01C60 x01C6DWORDDWORD0 x0000003F0 x0000003F相對(duì)扇區(qū)數(shù)相對(duì)扇區(qū)數(shù)(Rel

11、ative Sectors) (Relative Sectors) 0 x01CA0 x01CADWORDDWORD0 x00BB867E0 x00BB867E總扇區(qū)數(shù)總扇區(qū)數(shù)(Total Sectors)(Total Sectors)，該分區(qū)中扇區(qū)總數(shù)，該分區(qū)中扇區(qū)總數(shù)計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第12頁(yè)2.1.3 擴(kuò)展分區(qū)與擴(kuò)展擴(kuò)展分區(qū)與擴(kuò)展MBR簡(jiǎn)介簡(jiǎn)介l通過(guò)主引導(dǎo)記錄定義的硬盤(pán)分區(qū)表，最多通過(guò)主引導(dǎo)記錄定義的硬盤(pán)分區(qū)表，最多只能描述只能描述4個(gè)分區(qū)個(gè)分區(qū)l微軟采用虛擬微軟采用虛擬MBR的技術(shù)的技術(shù)l用以描述分區(qū)的扇區(qū)形

12、成一個(gè)用以描述分區(qū)的扇區(qū)形成一個(gè)“分區(qū)鏈分區(qū)鏈”，通過(guò)這個(gè)分區(qū)鏈，就可以描述所有的分區(qū)通過(guò)這個(gè)分區(qū)鏈，就可以描述所有的分區(qū)定義C：盤(pán)描述剩余空間未用未用表項(xiàng)1表項(xiàng)2表項(xiàng)3表項(xiàng)4C：盤(pán)分區(qū)表定義D：盤(pán)描述擴(kuò)展MBR未用未用D：盤(pán)分區(qū)表定義E：盤(pán)描述擴(kuò)展MBR未用未用E：盤(pán)分區(qū)表定義F：盤(pán)未用未用未用F：盤(pán)分區(qū)表計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第13頁(yè)2.1.3 擴(kuò)展分區(qū)與擴(kuò)展擴(kuò)展分區(qū)與擴(kuò)展MBR簡(jiǎn)介簡(jiǎn)介l主分區(qū)、擴(kuò)展分區(qū)、邏輯驅(qū)動(dòng)器及其關(guān)系主分區(qū)、擴(kuò)展分區(qū)、邏輯驅(qū)動(dòng)器及其關(guān)系計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)

13、出版社清華大學(xué)出版社2022年2月2日第14頁(yè)2.1.3 擴(kuò)展分區(qū)與擴(kuò)展擴(kuò)展分區(qū)與擴(kuò)展MBR簡(jiǎn)介簡(jiǎn)介l擴(kuò)展分區(qū)和邏輯盤(pán)擴(kuò)展分區(qū)和邏輯盤(pán)主擴(kuò)展分區(qū)(/dev/hda2)擴(kuò)展分區(qū)表分區(qū)表項(xiàng)1分區(qū)表項(xiàng)2邏輯盤(pán)(/dev/hda5)擴(kuò)展分區(qū)2擴(kuò)展分區(qū)表分區(qū)表項(xiàng)1分區(qū)表項(xiàng)2邏輯盤(pán)(/dev/hda6)擴(kuò)展分區(qū)3擴(kuò)展分區(qū)表分區(qū)表項(xiàng)1分區(qū)表項(xiàng)2邏輯盤(pán)(/dev/hda7)主擴(kuò)展分區(qū)計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第15頁(yè)一一個(gè)個(gè)3主主分分區(qū)區(qū)的的磁磁盤(pán)盤(pán)結(jié)結(jié)構(gòu)構(gòu)硬盤(pán)主引導(dǎo)記錄分區(qū)表主分區(qū)1主分區(qū)2主擴(kuò)展分區(qū)邏輯驅(qū)動(dòng)器擴(kuò)展引導(dǎo)記錄邏輯驅(qū)動(dòng)器擴(kuò)展引

14、導(dǎo)記錄主引導(dǎo)記錄第1分區(qū)表項(xiàng)第2分區(qū)表項(xiàng)第3分區(qū)表項(xiàng)第4分區(qū)表項(xiàng)0 x55AA引導(dǎo)扇區(qū)數(shù)據(jù)引導(dǎo)扇區(qū)數(shù)據(jù)擴(kuò)展分區(qū)表0 x55AA引導(dǎo)扇區(qū)數(shù)據(jù)擴(kuò)展分區(qū)表0 x55AA引導(dǎo)扇區(qū)數(shù)據(jù)擴(kuò)展分區(qū)表鏈接示意圖擴(kuò)展分區(qū)表鏈接示意圖主擴(kuò)展分區(qū)第一個(gè)邏輯驅(qū)動(dòng)器擴(kuò)展引導(dǎo)記錄擴(kuò)展分區(qū)表分區(qū)表項(xiàng)1分區(qū)表項(xiàng)2分區(qū)表項(xiàng)3分區(qū)表項(xiàng)4結(jié)束有效標(biāo)志第二個(gè)邏輯驅(qū)動(dòng)器擴(kuò)展引導(dǎo)記錄擴(kuò)展分區(qū)表分區(qū)表項(xiàng)1分區(qū)表項(xiàng)2分區(qū)表項(xiàng)3分區(qū)表項(xiàng)4結(jié)束有效標(biāo)志當(dāng)前下一個(gè)未用未用0 x55AA引導(dǎo)扇區(qū)數(shù)據(jù)當(dāng)前未用未用未用0 x55AA引導(dǎo)扇區(qū)數(shù)據(jù)計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第16頁(yè)2.2

15、.1 文件系統(tǒng)簡(jiǎn)介文件系統(tǒng)簡(jiǎn)介l當(dāng)磁盤(pán)被格式化之后，文件系統(tǒng)需要用到一些當(dāng)磁盤(pán)被格式化之后，文件系統(tǒng)需要用到一些特殊的區(qū)域來(lái)組織它本身的數(shù)據(jù)：特殊的區(qū)域來(lái)組織它本身的數(shù)據(jù)： 主引導(dǎo)記錄主引導(dǎo)記錄(Master Boot Record，MBR) 磁盤(pán)分區(qū)表磁盤(pán)分區(qū)表(Disk Partition Table，DPT) 操作系統(tǒng)引導(dǎo)記錄操作系統(tǒng)引導(dǎo)記錄(DOS Boot Record，DBR) 文件分配表文件分配表(File Allocation Table，F(xiàn)AT) 文件目錄表文件目錄表(File Directory Table，F(xiàn)DT) 數(shù)據(jù)區(qū)數(shù)據(jù)區(qū)計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治

16、教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第17頁(yè)數(shù)據(jù)區(qū)DATA文件目錄表FDTFAT2FAT131個(gè)保留扇區(qū)操作系統(tǒng)DBR62個(gè)保留扇區(qū)(系統(tǒng)扇區(qū))第二分區(qū)DPT + 55AA數(shù)據(jù)區(qū)DATA文件目錄表FDTFAT2FAT1操作系統(tǒng)DBR62個(gè)保留扇區(qū)(系統(tǒng)扇區(qū))MBR + DPT + 55AA剩余扇區(qū)剩余扇區(qū)0柱面0磁頭1扇區(qū)0柱面1磁頭1扇區(qū)占一個(gè)扇區(qū)占一個(gè)扇區(qū)共63個(gè)保留扇區(qū)，屬第1分區(qū)前的數(shù)據(jù)第1個(gè)分區(qū)通常是活動(dòng)分區(qū)C，此處以FAT16為例共63個(gè)保留扇區(qū)，屬第1、2分區(qū)之間數(shù)據(jù)第2個(gè)分區(qū)，此處以FAT32為例計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清

17、華大學(xué)出版社2022年2月2日第18頁(yè)2.2.2 FAT32 DBR偏移偏移字節(jié)字節(jié)字段長(zhǎng)字段長(zhǎng)度度( (字節(jié)字節(jié)) )字段名字段名對(duì)應(yīng)圖對(duì)應(yīng)圖中標(biāo)記中標(biāo)記0 x000 x003 3 跳轉(zhuǎn)指令跳轉(zhuǎn)指令細(xì)黑虛細(xì)黑虛線線0 x030 x038 8 廠商標(biāo)志和廠商標(biāo)志和OSOS版本號(hào)版本號(hào)細(xì)黑實(shí)細(xì)黑實(shí)線線0 x0B0 x0B5353BPBBPB紅粗虛紅粗虛線線0 x400 x4026 26 擴(kuò)展擴(kuò)展BPBBPB紅粗實(shí)紅粗實(shí)線線0 x5A0 x5A420420引導(dǎo)程序代引導(dǎo)程序代碼碼( (沒(méi)有下沒(méi)有下劃線劃線) )0 x010 x01FEFE2 2 有效結(jié)束標(biāo)有效結(jié)束標(biāo)志志藍(lán)粗藍(lán)粗( (最最粗粗) )

18、虛線虛線計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第19頁(yè)2.2.3 FAT16 DBRlFAT12和和FAT16中的中的DBR與與FAT32中的中的DBR的基的基本含義類似，只是相關(guān)偏移量和參數(shù)意義有小的本含義類似，只是相關(guān)偏移量和參數(shù)意義有小的差異差異偏移字節(jié)偏移字節(jié)字段長(zhǎng)度字段長(zhǎng)度( (字節(jié)字節(jié)) )字段名稱字段名稱0 x000 x003 3跳轉(zhuǎn)指令跳轉(zhuǎn)指令(Jump Instruction)(Jump Instruction)0 x030 x038 8OEM IDOEM ID0 x0B0 x0B2525BPBBPB0 x240 x2

19、42626擴(kuò)展擴(kuò)展BPBBPB0 x3E0 x3E448448引導(dǎo)程序代碼引導(dǎo)程序代碼(Bootstrap (Bootstrap Code)Code)0 x01FE0 x01FE4 4扇區(qū)結(jié)束標(biāo)識(shí)符扇區(qū)結(jié)束標(biāo)識(shí)符(0 x55AA)(0 x55AA)計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第20頁(yè)2.2.4 保留扇區(qū)保留扇區(qū)l在在FAT文件系統(tǒng)文件系統(tǒng)DBR的偏移的偏移0 x0E處，用處，用2個(gè)字節(jié)存?zhèn)€字節(jié)存儲(chǔ)保留扇區(qū)的數(shù)目。所謂保留扇區(qū)儲(chǔ)保留扇區(qū)的數(shù)目。所謂保留扇區(qū)(有時(shí)候也稱作系有時(shí)候也稱作系統(tǒng)扇區(qū)、隱藏扇區(qū)統(tǒng)扇區(qū)、隱藏扇區(qū))，是指從分

20、區(qū)，是指從分區(qū)DBR扇區(qū)開(kāi)始的僅扇區(qū)開(kāi)始的僅為系統(tǒng)所有的扇區(qū)，包括為系統(tǒng)所有的扇區(qū)，包括DBR扇區(qū)。在扇區(qū)。在FAT16文件文件系統(tǒng)中，保留扇區(qū)的數(shù)據(jù)通常設(shè)置為系統(tǒng)中，保留扇區(qū)的數(shù)據(jù)通常設(shè)置為1，即僅僅，即僅僅DBR扇區(qū)。而在扇區(qū)。而在FAT32中，保留扇區(qū)的數(shù)據(jù)通常取為中，保留扇區(qū)的數(shù)據(jù)通常取為32lFAT32中的保留扇區(qū)除了磁盤(pán)總第中的保留扇區(qū)除了磁盤(pán)總第0扇區(qū)用作扇區(qū)用作DBR，總第總第2扇區(qū)扇區(qū)(Windows 98系統(tǒng)系統(tǒng))或總第或總第0 xC扇區(qū)扇區(qū)(Windows 2000/XP)用作用作OS引導(dǎo)代碼擴(kuò)展部分外，引導(dǎo)代碼擴(kuò)展部分外，其余扇區(qū)都不參與操作系統(tǒng)管理與磁盤(pán)數(shù)據(jù)管理，其余

21、扇區(qū)都不參與操作系統(tǒng)管理與磁盤(pán)數(shù)據(jù)管理，通常情況下是沒(méi)作用的通常情況下是沒(méi)作用的計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第21頁(yè)2.2.4 保留扇區(qū)保留扇區(qū)l操作系統(tǒng)之所以在操作系統(tǒng)之所以在FAT32中設(shè)置保留扇區(qū)，是為了中設(shè)置保留扇區(qū)，是為了對(duì)對(duì)DBR作備份或留待以后升級(jí)時(shí)用。作備份或留待以后升級(jí)時(shí)用。FAT32中，中，DBR偏移偏移0 x32占占2字節(jié)的數(shù)據(jù)指明了字節(jié)的數(shù)據(jù)指明了DBR備份扇區(qū)備份扇區(qū)所在，一般為所在，一般為0 x06，即第，即第6扇區(qū)。當(dāng)扇區(qū)。當(dāng)FAT32分區(qū)分區(qū)DBR扇區(qū)被破壞導(dǎo)致分區(qū)無(wú)法訪問(wèn)時(shí)，可以用第扇區(qū)被破壞

22、導(dǎo)致分區(qū)無(wú)法訪問(wèn)時(shí)，可以用第6扇區(qū)的扇區(qū)的原備份替換第原備份替換第0扇區(qū)來(lái)找回?cái)?shù)據(jù)扇區(qū)來(lái)找回?cái)?shù)據(jù)計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第22頁(yè)2.2.6 FAT32 存儲(chǔ)原理存儲(chǔ)原理lFAT32是個(gè)非常有效的文件系統(tǒng)，是個(gè)非常有效的文件系統(tǒng)，F(xiàn)AT32依依然占據(jù)著然占據(jù)著Microsoft Windows文件系統(tǒng)中文件系統(tǒng)中重要的地位重要的地位lFAT32最早是出于最早是出于FAT16不支持大分區(qū)、單不支持大分區(qū)、單位簇容量大以至于空間急劇浪費(fèi)等缺點(diǎn)設(shè)位簇容量大以至于空間急劇浪費(fèi)等缺點(diǎn)設(shè)計(jì)的計(jì)的其余保留扇區(qū)FAT1FAT2(重復(fù)的)根文

23、件夾首簇其他文件夾及所有文件剩余扇區(qū)31個(gè)扇區(qū)據(jù)實(shí)際情況取大小同F(xiàn)AT1第2簇不足一簇引導(dǎo)扇區(qū)1扇區(qū)數(shù)據(jù)區(qū)保留扇區(qū)FAT32分區(qū)的基本構(gòu)成分區(qū)的基本構(gòu)成計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第23頁(yè)FAT32與與NTFS格式格式l文件存儲(chǔ)、讀取中文件存儲(chǔ)、讀取中FAT采用采用“文件分配表文件分配表”來(lái)進(jìn)行操作來(lái)進(jìn)行操作lFAT32以每簇以每簇4K劃分劃分,支持最大支持最大32GB的分的分區(qū)區(qū)l文件多或空間大時(shí)，文件分配表也隨之增文件多或空間大時(shí)，文件分配表也隨之增大，大，計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清

24、華大學(xué)出版社2022年2月2日第24頁(yè)lNTFS格式每簇格式每簇4K，存取速度快，存取速度快l只有只有Windows NT/2000/XP才能識(shí)別才能識(shí)別NTFS系統(tǒng)系統(tǒng) lNTFS 支持文件加密和分別管理功能支持文件加密和分別管理功能 lNTFS是一個(gè)可恢復(fù)的文件系統(tǒng)。在是一個(gè)可恢復(fù)的文件系統(tǒng)。在NTFS分區(qū)上分區(qū)上用戶很少需要運(yùn)行磁盤(pán)修復(fù)程序。用戶很少需要運(yùn)行磁盤(pán)修復(fù)程序。NTFS通過(guò)使通過(guò)使用標(biāo)準(zhǔn)的事物處理日志和恢復(fù)技術(shù)來(lái)保證分區(qū)的用標(biāo)準(zhǔn)的事物處理日志和恢復(fù)技術(shù)來(lái)保證分區(qū)的一致性。發(fā)生系統(tǒng)失敗事件時(shí)，一致性。發(fā)生系統(tǒng)失敗事件時(shí)，NTFS使用日志使用日志文件和檢查點(diǎn)信息自動(dòng)恢復(fù)文件系統(tǒng)的一

25、致性。文件和檢查點(diǎn)信息自動(dòng)恢復(fù)文件系統(tǒng)的一致性。 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第25頁(yè)2.2.7 NTFS文件系統(tǒng)文件系統(tǒng)l.具備錯(cuò)誤預(yù)警的文件系統(tǒng)具備錯(cuò)誤預(yù)警的文件系統(tǒng) 在在NTFS分區(qū)中，最開(kāi)始的分區(qū)中，最開(kāi)始的16個(gè)扇區(qū)是分區(qū)引導(dǎo)扇區(qū)，個(gè)扇區(qū)是分區(qū)引導(dǎo)扇區(qū)，其中保存著分區(qū)引導(dǎo)代碼，接著就是主文件表其中保存著分區(qū)引導(dǎo)代碼，接著就是主文件表(Master File Table，以下簡(jiǎn)稱，以下簡(jiǎn)稱MFT)，但如果它所在，但如果它所在的磁盤(pán)扇區(qū)恰好出現(xiàn)損壞，的磁盤(pán)扇區(qū)恰好出現(xiàn)損壞，NTFS文件系統(tǒng)會(huì)比較智文件系統(tǒng)會(huì)比較智能地將能

26、地將MFT換到硬盤(pán)的其他扇區(qū)，保證了文件系統(tǒng)換到硬盤(pán)的其他扇區(qū)，保證了文件系統(tǒng)的正常使用，也就是保證了的正常使用，也就是保證了Windows的正常運(yùn)行。的正常運(yùn)行。而以前的而以前的FAT16和和FAT32的的FAT(文件分配表文件分配表)則只能則只能固定在分區(qū)引導(dǎo)扇區(qū)的后面，一旦遇到扇區(qū)損壞，固定在分區(qū)引導(dǎo)扇區(qū)的后面，一旦遇到扇區(qū)損壞，那么整個(gè)文件系統(tǒng)就要癱瘓。那么整個(gè)文件系統(tǒng)就要癱瘓。 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第26頁(yè)2.2.7 NTFS文件系統(tǒng)文件系統(tǒng)l.文件讀取速度更高效文件讀取速度更高效! NTFS文件系統(tǒng)中的文件

27、屬性可以分成兩種文件系統(tǒng)中的文件屬性可以分成兩種:常駐屬性和非常常駐屬性和非常駐屬性，常駐屬性直接保存在駐屬性，常駐屬性直接保存在MFT中，像文件名和相關(guān)時(shí)間中，像文件名和相關(guān)時(shí)間信息信息(例如創(chuàng)建時(shí)間、修改時(shí)間等例如創(chuàng)建時(shí)間、修改時(shí)間等)永遠(yuǎn)屬于常駐屬性，非常駐永遠(yuǎn)屬于常駐屬性，非常駐屬性則保存在屬性則保存在MFT之外，但會(huì)使用一種復(fù)雜的索引方式來(lái)進(jìn)之外，但會(huì)使用一種復(fù)雜的索引方式來(lái)進(jìn)行指示。行指示。 lMFT是是Windows一啟動(dòng)就會(huì)載入到內(nèi)存中的，這樣一啟動(dòng)就會(huì)載入到內(nèi)存中的，這樣當(dāng)你查看這些文件或文件夾時(shí)，其實(shí)它們的內(nèi)容早當(dāng)你查看這些文件或文件夾時(shí)，其實(shí)它們的內(nèi)容早已在緩存中了，自然

28、大大提高了文件和文件夾的訪已在緩存中了，自然大大提高了文件和文件夾的訪問(wèn)速度。問(wèn)速度。 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第27頁(yè)2.2.7 NTFS文件系統(tǒng)文件系統(tǒng)l磁盤(pán)自我修復(fù)功能磁盤(pán)自我修復(fù)功能 NTFS利用一種利用一種“自我療傷自我療傷”的系統(tǒng)，可以對(duì)硬盤(pán)上的邏輯錯(cuò)的系統(tǒng)，可以對(duì)硬盤(pán)上的邏輯錯(cuò)誤和物理錯(cuò)誤進(jìn)行自動(dòng)偵測(cè)和修復(fù)。在誤和物理錯(cuò)誤進(jìn)行自動(dòng)偵測(cè)和修復(fù)。在FAT16和和FAT32時(shí)代，時(shí)代，我們需要借助我們需要借助Scandisk這個(gè)程序來(lái)標(biāo)記磁盤(pán)上的壞扇區(qū)，但這個(gè)程序來(lái)標(biāo)記磁盤(pán)上的壞扇區(qū)，但當(dāng)發(fā)現(xiàn)錯(cuò)誤時(shí)，數(shù)據(jù)往往已經(jīng)被

29、寫(xiě)在了壞的扇區(qū)上了，損失當(dāng)發(fā)現(xiàn)錯(cuò)誤時(shí)，數(shù)據(jù)往往已經(jīng)被寫(xiě)在了壞的扇區(qū)上了，損失已經(jīng)造成。已經(jīng)造成。 lNTFS文件系統(tǒng)則不然，每次讀寫(xiě)時(shí)，它都會(huì)檢查扇區(qū)正確與文件系統(tǒng)則不然，每次讀寫(xiě)時(shí)，它都會(huì)檢查扇區(qū)正確與否。當(dāng)讀取時(shí)發(fā)現(xiàn)錯(cuò)誤，否。當(dāng)讀取時(shí)發(fā)現(xiàn)錯(cuò)誤，NTFS會(huì)報(bào)告這個(gè)錯(cuò)誤會(huì)報(bào)告這個(gè)錯(cuò)誤;當(dāng)向磁盤(pán)寫(xiě)當(dāng)向磁盤(pán)寫(xiě)文件時(shí)發(fā)現(xiàn)錯(cuò)誤，文件時(shí)發(fā)現(xiàn)錯(cuò)誤，NTFS將會(huì)十分智能地?fù)Q一個(gè)完好位置存儲(chǔ)將會(huì)十分智能地?fù)Q一個(gè)完好位置存儲(chǔ)數(shù)據(jù)，操作不會(huì)受到任何影響。在這兩種情況下，數(shù)據(jù)，操作不會(huì)受到任何影響。在這兩種情況下，NTFS都會(huì)都會(huì)在壞扇區(qū)上作標(biāo)記，以防今后被使用。這種工作模式可以使在壞扇區(qū)上作標(biāo)記，以防今后被使用。

30、這種工作模式可以使磁盤(pán)錯(cuò)誤可以較早地被發(fā)現(xiàn)，避免災(zāi)難性的事故發(fā)生磁盤(pán)錯(cuò)誤可以較早地被發(fā)現(xiàn)，避免災(zāi)難性的事故發(fā)生 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第28頁(yè)2.2.7 NTFS文件系統(tǒng)文件系統(tǒng) 文件記錄的大小一文件記錄的大小一般是固定的，不管般是固定的，不管簇的大小是多少，簇的大小是多少，文件記錄大小一般文件記錄大小一般為為1KB 文件記錄在文件記錄在MFT文文件記錄數(shù)組中物理件記錄數(shù)組中物理上是連續(xù)的，且從上是連續(xù)的，且從0開(kāi)始編號(hào)，所以，開(kāi)始編號(hào)，所以，NTFS是預(yù)定義文是預(yù)定義文件系統(tǒng)件系統(tǒng)計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析

31、與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第29頁(yè)2.2.1 2.2.1 引導(dǎo)型病毒工作原理引導(dǎo)型病毒工作原理 引導(dǎo)型病毒是一種在引導(dǎo)型病毒是一種在ROM BIOS之后，系統(tǒng)引導(dǎo)時(shí)之后，系統(tǒng)引導(dǎo)時(shí)出現(xiàn)的病毒，它先于操作系統(tǒng)，依托的環(huán)境是出現(xiàn)的病毒，它先于操作系統(tǒng)，依托的環(huán)境是BIOS中斷中斷服務(wù)程序。引導(dǎo)型病毒是利用操作系統(tǒng)的引導(dǎo)模塊放在某服務(wù)程序。引導(dǎo)型病毒是利用操作系統(tǒng)的引導(dǎo)模塊放在某個(gè)固定的位置，并且控制權(quán)的轉(zhuǎn)交方式是以物理位置為依個(gè)固定的位置，并且控制權(quán)的轉(zhuǎn)交方式是以物理位置為依據(jù)，而不是以操作系統(tǒng)引導(dǎo)區(qū)的內(nèi)容為依據(jù)，因而病毒占據(jù)，而不是以操作系統(tǒng)引導(dǎo)區(qū)的內(nèi)容為依據(jù)，因

32、而病毒占據(jù)該物理位置即可獲得控制權(quán)，而將真正的引導(dǎo)區(qū)內(nèi)容搬據(jù)該物理位置即可獲得控制權(quán)，而將真正的引導(dǎo)區(qū)內(nèi)容搬家轉(zhuǎn)移或替換，待病毒程序執(zhí)行后，將控制權(quán)交給真正的家轉(zhuǎn)移或替換，待病毒程序執(zhí)行后，將控制權(quán)交給真正的引導(dǎo)區(qū)內(nèi)容，使得這個(gè)帶病毒的系統(tǒng)看似正常運(yùn)轉(zhuǎn)，而病引導(dǎo)區(qū)內(nèi)容，使得這個(gè)帶病毒的系統(tǒng)看似正常運(yùn)轉(zhuǎn)，而病毒已隱藏在系統(tǒng)中并伺機(jī)傳染、發(fā)作毒已隱藏在系統(tǒng)中并伺機(jī)傳染、發(fā)作。計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第30頁(yè)感染前后比較感染前后比較 硬盤(pán)中毒前的正常開(kāi)機(jī)程序：開(kāi)機(jī)硬盤(pán)中毒前的正常開(kāi)機(jī)程序：開(kāi)機(jī)執(zhí)行執(zhí)行BIOS自我測(cè)自我測(cè)試試PO

33、ST填入中斷向量表填入中斷向量表硬盤(pán)分區(qū)表硬盤(pán)分區(qū)表(Partition Table)啟動(dòng)扇區(qū)啟動(dòng)扇區(qū)(Boot Sector)IO.SYSMSDOS.SYSCOMMAND.COM。 硬盤(pán)中毒之后的開(kāi)機(jī)程序：開(kāi)機(jī)硬盤(pán)中毒之后的開(kāi)機(jī)程序：開(kāi)機(jī)執(zhí)行執(zhí)行BIOS自我測(cè)自我測(cè)試試POST填入中斷向量表填入中斷向量表硬盤(pán)分割表硬盤(pán)分割表(Partition Table)開(kāi)機(jī)型病毒開(kāi)機(jī)型病毒啟動(dòng)扇區(qū)啟動(dòng)扇區(qū)(Boot Sector)IO.SYSMSDOS.SYSCOMMAND.COM。 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第31頁(yè)Windows操

34、作系統(tǒng)啟動(dòng)過(guò)程操作系統(tǒng)啟動(dòng)過(guò)程 l預(yù)啟動(dòng)預(yù)啟動(dòng),啟動(dòng)啟動(dòng),裝載內(nèi)核裝載內(nèi)核,初始化內(nèi)核以及用戶登錄初始化內(nèi)核以及用戶登錄l預(yù)啟動(dòng)預(yù)啟動(dòng) 首先計(jì)算機(jī)通電進(jìn)行自檢首先計(jì)算機(jī)通電進(jìn)行自檢,并由并由BIOS(即基本輸入輸出系統(tǒng)即基本輸入輸出系統(tǒng))完成基本硬件完成基本硬件配置配置,然后讀取硬盤(pán)的然后讀取硬盤(pán)的MBR(主引導(dǎo)記錄主引導(dǎo)記錄)檢檢查硬盤(pán)分區(qū)表以確定引導(dǎo)分區(qū)查硬盤(pán)分區(qū)表以確定引導(dǎo)分區(qū),并將引導(dǎo)分并將引導(dǎo)分區(qū)上的操作系統(tǒng)引導(dǎo)扇區(qū)調(diào)入內(nèi)存中執(zhí)行區(qū)上的操作系統(tǒng)引導(dǎo)扇區(qū)調(diào)入內(nèi)存中執(zhí)行,此處即執(zhí)行此處即執(zhí)行NTLDR(操作系統(tǒng)加載器操作系統(tǒng)加載器)文件文件 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教

35、程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第32頁(yè)Windows操作系統(tǒng)啟動(dòng)過(guò)程操作系統(tǒng)啟動(dòng)過(guò)程 l預(yù)啟動(dòng)預(yù)啟動(dòng),啟動(dòng)啟動(dòng),裝載內(nèi)核裝載內(nèi)核,初始化內(nèi)核以及用戶登錄初始化內(nèi)核以及用戶登錄l預(yù)啟動(dòng)預(yù)啟動(dòng) 首先計(jì)算機(jī)通電進(jìn)行自檢首先計(jì)算機(jī)通電進(jìn)行自檢,并由并由BIOS(即基本輸入輸出系統(tǒng)即基本輸入輸出系統(tǒng))完成基本硬件完成基本硬件配置配置,然后讀取硬盤(pán)的然后讀取硬盤(pán)的MBR(主引導(dǎo)記錄主引導(dǎo)記錄)檢檢查硬盤(pán)分區(qū)表以確定引導(dǎo)分區(qū)查硬盤(pán)分區(qū)表以確定引導(dǎo)分區(qū),并將引導(dǎo)分并將引導(dǎo)分區(qū)上的操作系統(tǒng)引導(dǎo)扇區(qū)調(diào)入內(nèi)存中執(zhí)行區(qū)上的操作系統(tǒng)引導(dǎo)扇區(qū)調(diào)入內(nèi)存中執(zhí)行,此處即執(zhí)行此處即執(zhí)行NTLDR(操作系統(tǒng)加載器操作系統(tǒng)加載器)文件文件 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年2月2日第33頁(yè)Windows操作系統(tǒng)啟動(dòng)過(guò)程操作系統(tǒng)啟動(dòng)過(guò)程 l預(yù)啟動(dòng)預(yù)啟動(dòng),啟動(dòng)啟動(dòng),裝載內(nèi)核裝載內(nèi)核,初始化內(nèi)核以及用戶登錄初始化內(nèi)核以